Теневая продажа эксплойтов поощряет программистов к саботажу

Теневая продажа эксплойтов поощряет программистов к саботажу

Появление чёрного рынка 0day-уязвимостей для спецслужб привело к ряду побочных эффектов, пишет Брюс Шнайер в своей ежемесячной почтовой рассылке Crypto-Gram. Критика Брюса Шнайера направлена на деятельность компаний Vupen, Netragard, Endgame и других брокеров, которые покупают эксплойты у независимых хакеров и перепродают их спецслужбам западных стран. Компания Vupen к тому же имеет в штате ряд высокопрофессиональных специалистов, которые сами занимаются аудитом безопасности популярных браузеров и операционных систем, так что у них всегда есть на продажу эксклюзивные 0day-уязвимости для программ типа Flame.

Брюс Шнайер говорит, что когда увидел прайс-лист на эксплойты в Forbes, то поначалу не поверил, что стоимость уязвимостей доходит до $250 тыс. Но позже компетентные люди подтвердили, что это настоящая цена. Рынок действительно сильно изменился с 2007 года, когда Чарли Миллер впервые написал о продаже 0day-эксплойтов. Даже по сравнению с 2010 годом сейчас совершенно другие цены: этот рынок пережил настоящий бум в последние пару лет, так что сейчас над поиском уязвимостей работают профессиональные высокооплачиваемые команды.

Брюс Шнайер всегда придерживался мнения, что поиск уязвимостей в программных продуктах повышает общую безопасность, поскольку поощряет публикацию информации в открытом доступе. Раньше главным мотивом у хакера было стремление к известности, так что публикация информации в открытом доступе являлось естественным. К сожалению, за несколько лет рынок трансформировался и от полной открытости к «ответственной открытости», когда хакеры заранее уведомляют компанию-разработчика об уязвимости и публикуют информацию в открытом доступе только спустя некоторое время, дав разработчику возможность исправить ошибку. Такая трансформация изменила мотивацию хакера в не лучшую сторону, но по факту ситуация со всеобщей безопасностью не стала хуже — патчи выпускались, дыры закрывались, а производители старались делать софт более защищённым, чтобы не терять деньги на плохом пиаре и разработке патчей, передает xakep.ru.

Новые реалии совершенно меняют дело, потому что участники чёрного рынка вообще не заинтересованы в закрытии уязвимостей. То есть влиятельные государственные агентства могут приложить определённые усилия, чтобы уязвимость не закрывали какое-то время даже если разработчику стало известно о ней. Здесь ситуация аналогична с нахождением уязвимостей в криптографических алгоритмах, что часто обсуждалось на криптографических конференциях с участием криптологов АНБ. Перед ними стоит дилемма, что делать с такими уязвимостями в случае их обнаружения: публиковать в открытом доступе для исправления алгоритма или тайно использовать в своих целях. К 2000 году, пишет Шнайер, АНБ вроде бы согласилось с первым вариантом, но всё изменилось после 9/11.

И самое главное — появляется мощный стимул для программистов — в Microsoft, Google и других компаниях — оставлять ошибки в программном коде, а потом секретно продавать уязвимости государственным агентствам. Вот почему наличие чёрного рынка эксплойтов опасно для всех. Брюс Шнайер говорит, что ни одна софтверная компания в мире не обладает настолько надёжной системой ревизии кода, чтобы выявлять подобный саботаж: найти ошибку и доказать злой умысел.

Таким образом, существование чёрного рынка эксплойтов является исключительно негативным явлением. Как сказано в недавней статье EFF, это «безопасность для 1%», которая ухудшает защищённость остальных.

Появление чёрного рынка 0day-уязвимостей для спецслужб привело к ряду побочных эффектов, пишет Брюс Шнайер в своей ежемесячной почтовой рассылке Crypto-Gram. Критика Брюса Шнайера направлена на деятельность компаний Vupen, Netragard, Endgame и других брокеров, которые покупают эксплойты у независимых хакеров и перепродают их спецслужбам западных стран. Компания Vupen к тому же имеет в штате ряд высокопрофессиональных специалистов, которые сами занимаются аудитом безопасности популярных браузеров и операционных систем, так что у них всегда есть на продажу эксклюзивные 0day-уязвимости для программ типа Flame." />
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Google напомнила, как Play Store защищает владельцев Android-смартфонов

Google решила напомнить всем, как она следит за безопасностью в своём магазине приложений Play Store. Корпорация запустила новую рекламную кампанию с говорящим слоганом: «Download apps, not traps» — то есть «Скачивай приложения, а не ловушки».

В центре внимания — меры, которые помогают не наткнуться на вредоносные или мошеннические программы.

Вот что делает Google, чтобы пользователям не пришлось переживать за безопасность:

Многоступенчатые проверки

Каждое приложение, прежде чем появиться в Play Store (и даже перед обновлениями!), проходит больше 10 000 проверок. Это помогает отсеивать подозрительный софт ещё до того, как он попадёт на смартфон.

Play Protect — твой цифровой телохранитель

Этот инструмент по умолчанию включён на всех устройствах с Android. Он проверяет приложения до установки и продолжает следить за уже установленными программами, чтобы вовремя поймать что-то подозрительное.

Прозрачность по части данных

У каждого приложения теперь есть отдельный раздел, где расписано, какие данные оно собирает, с кем делится и как их защищает. Видно, использует ли геолокацию, сообщения, финансы, активность и т. п. Удобно, чтобы понимать, кому ты даёшь доступ к данным.

 

Безопасные покупки

Перед покупкой Google просит подтвердить её паролем, отпечатком пальца или другим способом. Это защищает от случайных трат — особенно если телефон в руках ребёнка.

Родительский контроль

Для детей Google предусмотрела строгие фильтры. Приложения, ориентированные на младшую аудиторию, обязаны соответствовать особым требованиям: по содержанию и по тому, как они работают с персональной информацией.

Значки доверия и управление рекомендациями

В магазине теперь есть специальные значки, например, «Government» — для официальных госприложений, или «Verified» — для VPN, которые действительно заботятся о безопасности. Кроме того, можно настраивать, какие данные используются для персональных рекомендаций, а можно и вовсе их отключить.

И, конечно, компания продолжает бороться с нарушителями. За прошлый год Google заблокировала более 2,36 млн приложений и 158 000 аккаунтов разработчиков, нарушавших правила.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru