Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего хакера на службе корпорации, с задачами, которые перед ним ставятся, и их решениями.

 

Intro

FUD (акроним от fear, uncertainty and doubt — «страх, неизвестность, сомнения») сыграл огромную роль в развитии отечественной индустрии ИБ. FUD в контексте ИБ — прием маркетинга, который помогает продавать тот или иной продукт, используя страх клиента перед неизвестным злоумышленником. Подход явно грубый и некрасивый, но именно благодаря ему отрасль получила финансирование и смогла развиться.

Я был уверен, что такой метод продаж изжил себя в тот момент, когда у отделов ИБ в организациях стали появляться технические компетенции. Некоторое время назад мне довелось побывать на малоизвестной конференции escar, которая целиком посвящена теме embedded security в отрасли автомобилестроения. Каждый второй «технический» доклад содержал в себе отсылку к популярному в медиа исследованию Миллера и Валасека. Сложилось впечатление, что я снова попал во времена @defaced и первых отечественных конференций на тему ИБ. Внезапно ощутить себя в прошлом, наблюдая потерю многих лет прогресса, — чувство не из приятных.

Причина, как мне кажется, в том, что к безопасности IoT-девайсов, автомобилей и SCADA относятся так, будто это совсем не те компьютеры, которые нам в 2015 году уже отлично знакомы. Вместо этого их воспринимают как те устройства, которыми они были до того момента, когда в них засунули ARM. Грубо говоря, IoT дал вторую жизнь FUD в виде такого понятия, как stunt hacking. Вместо того чтобы искать новые типы уязвимостей, разрабатывать новые механизмы защиты, многие security-вендоры бросились искать уязвимости в софте IoT-девайсов, SCADA, ERP и так далее. И всё ради громких пресс-релизов, выступлений на конференциях и упоминаний в масс-медиа.

FUD. Year 2015
FUD. Year 2015
 

Stunt hacking

Насколько я знаю, термин зародился осенью 2014-го в треде с говорящей темой «Junk Hacking Must Stop!». Лейтмотив такой: после появления IoT хакерские конференции наполнились докладами на тему «возможно, у тебя есть такой девайс, и я тебя сейчас напугаю, взломав его». Термин носит сугубо негативный характер и подразумевает любое «исследование», которое представляет собой тщательно скрываемый FUD или же никак не соотносится с реальным положением дел. Подготовка подобного «исследования» чаще всего выглядит следующим образом.

  1. Покупаем девайс, который достаточно широко применяется, внешне не похож на компьютер в представлении обывателя, но использует идентичные технологии.
  2. Тратим время на анализ устройства и изучение того, как оно работает.
  3. Находим уязвимость, пишем эксплоит, связываемся с вендором.
  4. Готовим пресс-релиз.
  5. Представляем «исследование» на конференции.

Таким подходом в первую очередь начали злоупотреблять security-вендоры, когда поняли, что FUD в качестве поддержки продаж может быть снова полезен. Получается так, что компании тратят ресурсы на поиск уязвимостей, импакт которых очень сомнителен. К примеру, найденная уязвимость в компоненте SCADA рождает статью, как был взломан поезд, а на основе найденной уязвимости в мобильном приложении для автомобиля готовится пресс-релиз о том, что был получен полный доступ к управлению автомобилем.

Stunt hacking
Stunt hacking
 

Bad marketing

Такой подход стал активно использоваться в рамках маркетинговых стратегий. Маркетологи снова в деле, они знают, как работать с FUD. Таким образом, вендоры задают нецелесообразные тренды в индустрии не только для себя, но и для небольших компаний и индивидуальных исследователей, только пришедших на рынок. «Трюкачество» и FUD еще и серьезно отвлекают: действительно стоящий ресерч часто остается незамеченным и теряется в горах мусора.

Stunt hacking research мелькает в масс-медиа, но это никак не влияет на рост продаж, ради которого все затевается. Ресерчеры, используя эффект от громких заголовков, предполагают, что упоминание их имени сконвертируется в деньги и популярность. Но в реальном мире все не так: вендоры прибегают к таким методам, потому что более серьезный и адекватный подход требует ощутимых затрат, тогда как FUD — это несложно. Старые клиенты игнорируют шумиху на пустом месте, да и новые не спешат ей поддаваться.

Исследователи без флага вендора над головой думают, что их наймут только за то, что они публично рассказали о найденной примитивной уязвимости в продукте. Но их исследование только выставляет потенциального клиента с плохой стороны, и победителя в такой ситуации никогда не будет.

 

Regress

Следуя трендам, которые родились из широко разрекламированных трюков, исследователи тратят время на поиск поверхностных уязвимостей. Это занимает время и препятствует развитию технических компетенций. Достигнув планки, которую задали исследования, ориентированные на маркетинг, можно решить, что это предел. Раз уж вендор с гордостью об этом рассказывает, значит, это потолок его крутости, верно? И если есть возможность достичь того же, то зачем развиваться?

Пожалуй, стоит упомянуть и такой подход к исследованиям: «я нашел у вас уязвимость, вы мне теперь должны». Быть может, уверенность в этой формуле сформировалась из представления о том, что security-вендоры получают гонорары за исследования в том же формате. Однако они не получают ничего, кроме хайпа в прессе и, возможно, прироста чувства собственной важности.

Мне абсолютно непонятен такой вклад в безопасность. Ситуация просто ироничная: за десять лет бизнес сделал огромный шаг навстречу индустрии ИБ — компании стали заботиться о безопасности, появился бюджет, появились bug bounty. А вот подход к сотрудничеству со стороны вендоров остался прежним. И это плохой пример для исследователей, только приходящих на рынок. Вместо того чтобы развиваться и делать годный ресерч, они тратят время на погоню за количеством CVE.

 

Good marketing

Результат работы должен говорить сам за себя. Рекомендации клиентов — лучший показатель профессионализма в той или иной сфере. Общение с вендором, полноценное погружение в проблему, желание помочь людям — вот что всегда будет приносить больше пользы, чем бездумный маркетинговый ресерч, цель которого — засветиться в какой-либо теме. Количество != качество. Руководствуйся принципом PoC||GTFO.

 

Outro

Если ты каким-либо образом участвуешь в исследованиях, нацеленных на FUD, пожалуйста, задумайся об их целесообразности. Stay tuned!

Аватар

Юрий Гольцев

Профессиональный white hat, специалист по ИБ, еженедельно проводящий множество этичных взломов крупных организаций, редактор рубрики Взлом, почетный член команды ][

Check Also

GSM Ducky. Делаем BadUSB с управлением по сотовой связи

Любой компьютер имеет огромную уязвимость — порты, к которым можно подключать устройства в…

1 комментарий

  1. Аватар

    k1k0

    15.01.2016 в 14:04

    Жаль статья платная, ее бы стоило многим показать.

    «»желание помочь людям — вот что всегда будет приносить больше пользы, чем бездумный маркетинговый ресерч (подставьте свой вариант, но смысл не изменится)»»

Оставить мнение