Теневая продажа эксплойтов поощряет программистов к саботажу

Появление чёрного рынка 0day-уязвимостей для спецслужб привело к ряду побочных эффектов, пишет Брюс Шнайер в своей ежемесячной почтовой рассылке Crypto-Gram. Критика Брюса Шнайера направлена на деятельность компаний Vupen, Netragard, Endgame и других брокеров, которые покупают эксплойты у независимых хакеров и перепродают их спецслужбам западных стран. Компания Vupen к тому же имеет в штате ряд высокопрофессиональных специалистов, которые сами занимаются аудитом безопасности популярных браузеров и операционных систем, так что у них всегда есть на продажу эксклюзивные 0day-уязвимости для программ типа Flame.

Брюс Шнайер говорит, что когда увидел прайс-лист на эксплойты в Forbes, то поначалу не поверил, что стоимость уязвимостей доходит до $250 тыс. Но позже компетентные люди подтвердили, что это настоящая цена. Рынок действительно сильно изменился с 2007 года, когда Чарли Миллер впервые написал о продаже 0day-эксплойтов. Даже по сравнению с 2010 годом сейчас совершенно другие цены: этот рынок пережил настоящий бум в последние пару лет, так что сейчас над поиском уязвимостей работают профессиональные высокооплачиваемые команды.

Брюс Шнайер всегда придерживался мнения, что поиск уязвимостей в программных продуктах повышает общую безопасность, поскольку поощряет публикацию информации в открытом доступе. Раньше главным мотивом у хакера было стремление к известности, так что публикация информации в открытом доступе являлось естественным. К сожалению, за несколько лет рынок трансформировался и от полной открытости к «ответственной открытости», когда хакеры заранее уведомляют компанию-разработчика об уязвимости и публикуют информацию в открытом доступе только спустя некоторое время, дав разработчику возможность исправить ошибку. Такая трансформация изменила мотивацию хакера в не лучшую сторону, но по факту ситуация со всеобщей безопасностью не стала хуже — патчи выпускались, дыры закрывались, а производители старались делать софт более защищённым, чтобы не терять деньги на плохом пиаре и разработке патчей, передает xakep.ru.

Новые реалии совершенно меняют дело, потому что участники чёрного рынка вообще не заинтересованы в закрытии уязвимостей. То есть влиятельные государственные агентства могут приложить определённые усилия, чтобы уязвимость не закрывали какое-то время даже если разработчику стало известно о ней. Здесь ситуация аналогична с нахождением уязвимостей в криптографических алгоритмах, что часто обсуждалось на криптографических конференциях с участием криптологов АНБ. Перед ними стоит дилемма, что делать с такими уязвимостями в случае их обнаружения: публиковать в открытом доступе для исправления алгоритма или тайно использовать в своих целях. К 2000 году, пишет Шнайер, АНБ вроде бы согласилось с первым вариантом, но всё изменилось после 9/11.

И самое главное — появляется мощный стимул для программистов — в Microsoft, Google и других компаниях — оставлять ошибки в программном коде, а потом секретно продавать уязвимости государственным агентствам. Вот почему наличие чёрного рынка эксплойтов опасно для всех. Брюс Шнайер говорит, что ни одна софтверная компания в мире не обладает настолько надёжной системой ревизии кода, чтобы выявлять подобный саботаж: найти ошибку и доказать злой умысел.

Таким образом, существование чёрного рынка эксплойтов является исключительно негативным явлением. Как сказано в недавней статье EFF, это «безопасность для 1%», которая ухудшает защищённость остальных.

Появление чёрного рынка 0day-уязвимостей для спецслужб привело к ряду побочных эффектов, пишет Брюс Шнайер в своей ежемесячной почтовой рассылке Crypto-Gram. Критика Брюса Шнайера направлена на деятельность компаний Vupen, Netragard, Endgame и других брокеров, которые покупают эксплойты у независимых хакеров и перепродают их спецслужбам западных стран. Компания Vupen к тому же имеет в штате ряд высокопрофессиональных специалистов, которые сами занимаются аудитом безопасности популярных браузеров и операционных систем, так что у них всегда есть на продажу эксклюзивные 0day-уязвимости для программ типа Flame." />
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Сбербанк: В 2019 году кибератаки происходят каждые 14 секунд

Ссылаясь на исследование компании Cybersecurity Ventures, Сбербанк заявил, что в 2019 году кибератаки по всему миру происходят каждые 14 секунд. Также в кредитной организации заявили, что в этом году киберпреступники продолжат использовать социальную инженерию.

Что касается социальной инженерии, специалисты Сбербанка по итогам 2018 года отметили рост этого вида киберпреступлений на 6%. Исследователи также обращают внимание на утечки данных корпораций и целевые атаки на сотрудников — в 2019 году эти векторы станут главным вызовом для безопасников.

Помимо этого, Сбербанк предупреждает о растущей сумме ущерба от кибератак — это происходит естественным образом с увеличением их числа.

«Если в прошлом году убытки компаний различных секторов экономики составили 1,5 трлн долларов, то в 2019 году, по прогнозу Сбербанка, они достигнут уже 2,5 трлн. К 2022 году, по прогнозу Всемирного экономического форума, сумма планетарного ущерба от кибератак может вырасти до 8 трлн долларов», — заявили представители кредитной организации.

Сбербанк отметил, что ему ежедневно удается успешно отражать несколько тысяч атак на свои системы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru