вторник, 27 марта 2012 г.

Цена 0day

Так как я теперь буду "бложить", то не могу не обойти вниманием такую тему, как добыча $$$ за уязвимости и эксплойты. Сия проблема будоражит умы многих не глупых людей (http://oxod.ru/?p=361 http://sgordey.blogspot.com/2012/03/blog-post_24.html). Выскажусь и я.

Суть истории в том, что компания Vupen найдя 0day багу в Google Chrome + возможность побега из песочницы (опять из флэша?) отказалась "сдавать" информацию о проблеме компании Google, т.е. вендору. Мотивация у них проста - они лучше продадут её своим клиентам(НАТО, гос. учреждения типа Немецкой полиции и т.д.) и заработают намного больше, чем предлагает Google. Типа это плохо, и настоящий вай-хаты так не делают.

Что-то мне подсказывает, что вай-хатов не существуют вообще. Вернее они существуют отдельно в головах отдельных ресерчеров. У них есть свои моральные-нормы. Что можно и что нельзя. Когда мы говорим о бизнесе - эти нормы стираются в угоду общему благу корпорации 8) Если ресерчер может работать в компании сохранив свои принципы - это гуд. Но есть и грань. Например. если с Вупен все ясно - они специализируются на продаже эксплойтов гос. учреждениям, правительственным и силовым структурам - то это не плохо. Не русским же кибер-преступникам толкают! Не террористам! Не китайским шпионам. В их понятиях морали - это нормально. Они вейт-хэты. Не вижу проблем, почему так делать нельзя (им). В России то же полно ресерчеров. И есть те, кто так же толкает 0day эксплойты - http://intevydis.com/vulndisco.shtml .

Есть и много других талантливых и умных парней, тот же Сергей Глазунов, а еще куча анонимных и не очень контрибуторов ZDI/iDefense. Кому и что они продают - вариантов масса, и все определяется только их собственной моралью. Поэтому не совсем понятно и даже немного обидно это обзывательство от Сергея - "Жидохэкер" 8)) Дело не в деньгах же. А еще - поиск уязвимости, написание эксплойта, поиска уязвимости в песочнице, написание второго эксплойта - это большая и не самая простая работа. А за работу надо платить. Причем плата может быть разная:
- Деньги от покупателя (гос. конторы - хорошие ребята и деньги имеют)
- Прямые деньги от вендора
- Скататься на конференцию (это тоже палата. ведь организаторы конфы платят тебе за перелет, за проживание, а BlackHat еще и дополнительный гонорар платят - как раз вот жду 8)
- Бесплатно уведомить вендора и бесплатно потом вывесить адвайзои, спустя год, на своем сайте.

(отсортировано в порядке прибыльности, а так же в порядке ценности уязвимостей.)

Все это выгода. Даже последний пункт - сырая выгода. К примеру, есть у нас фирма, оказывающая консалтинговые услуги по ИБ. Кроме того мы может ещё и что-то там продаем. Но нам нужен ПР, что бы быть самыми-самыми! Для этого создаются лаборатории и там вывешиваются адвайзори - смотрите, мы нашли столько опасных проблем - мы умные и добрые, связывайтесь с нами, покупайте...! У большинства европейских контор, занимающихся пен-тестами есть такие вот лабы. Это нормально. Это показатель. Поэтому на вопрос к PTSec - "Зачем вы это делаете?! Хотите сделать мир лучше?" от кого-то из разработчиков. Ответ очевиден - ПР. Это же рынок, такие тут законы. И DSecRG - то же ПР. Конечно нас прет от этого, мы любим искать баги, нам приятно получать благодарности от IBM, VMware, SAP и тд. Но у нас есть компания, которая зарабатывает деньги консалтингом, и что бы было очевидно, кто умеет работать, а кто просто словами бросается, нужны такие лабы:

http://www.ioactive.com/resources_advisories.html
и много еще кто...

Ну и Россия:

И это все? Если есть ещё - пишите, добавлю!

Так что не надо говорить про белых шляп, когда речь идет о бизнесе 8)
Дело в людях... например, вот есть проблема с группой сайтов и, допустим, утечкой данных через что-то там. Что делает белая шляпа? Создает панику? Создает инфо-повод - привлекая внимание СМИ? Или тихо помогает сайтам-пострадавшим? Но ведь в последнем случае НИКТО не узнает о тимуровцах...






2 комментария:

  1. >головах отдельных ресерчеров. У них есть свои моральные-нормы. Что можно и что нельзя.

    Этика такая этика. Только в головах.

    Легеров плохой пример, он сейчас трейдит только зарубеж.

    BHC не зря цитирутся. Ибо чувствую аналогию. Публично заявленный (и оправдываемый сообществом) non disclosure - жидохэкерство.

    Противоставлять бизнес и этику... Одно исключает другое?

    http://www.youtube.com/watch?v=pLQYVVn09x4

    И существовать он может пока есть возможность кого-то быстро забомбить. ИБ индустрия такого не может. Значит закрутят гайки.

    ОтветитьУдалить
  2. Этику(в смысле морально-нравственных норм) нельзя исключить. Она есть всегда, хоть какая-то. Просто бизнес может её определять, "прогибать" и даже "зомбировать" навязывая свое представление о нормах другим людям. Побочный эффект капитализма 8)

    Зажимание багов, и раздача инфы касте избранных за $$$ - это бизнес. Их этика(а скорее власть сверху) определила эту касту, кому можно толкать. Совесть чиста. Почему они должны делится этой инфой с вендором?


    P.S. Я не то что бы "за вупенов" и поддерживаю их, я ближе к такой позиции:
    http://blog.trailofbits.com/2009/03/22/no-more-free-bugs/

    ОтветитьУдалить