суббота, 24 марта 2012 г.

Жидохэкерские войдохэды

Что-то совершенно нереальное начало твориться с whitehat. Процесс поиска,  разглашение и монетизации уязвимостей, достаточно давно вышедший в какие-то приемлемые рамки снова начало лихорадить, причем беда пришла с неожиданной стороны "белых и пушистых" исследователей.
И так, суть:

"...специалисты из французской компании Vupen, которые обошли настройки безопасности браузера Google Chrome, отказались предоставлять подробности взлома web-обозревателя представителям Google... Глава компании Чаоки Бекрар (Chaouki Bekrar) заявил: «Мы не поделимся нашей информацией с Google даже за 1 млн долларов. Мы не хотим предоставлять им знания, которые помогут им исправить обнаруженную нами или любую другую уязвимость. Мы хотим оставить эксплоит для наших заказчиков..."

src = http://www.securitylab.ru/news/422069.php

На всякий случай, оригинал:

"We wouldn’t share this with Google for even $1 million. We don’t want to give them any knowledge that can help them in fixing this exploit or other similar exploits. We want to keep this for our customers,” said Chaouki Bekrar, Vupen’s CEO."

Подумаешь, скажет подкованный читатель. Люди нашли уязвимость, их дело как ими распоряжаться. Но не все так просто. Давайте прикинем, какие есть сейчас варианты у честного вайтхэта, если он вдруг начал находить уязвимости.

1. Найти спонсора и сливать. Спонсор кончено должен быть белым и пушистым, но эта задача сейчас решается просто практически в любом регионе "шарика".

2. Если бага "слабая" или со спонсором не сложилось - можно поразмышлять немного и слить все в ZDI или схожую программу.

3. Если вдруг эти варианты не подходят, или нужно дружить с вендором - пустить багу на PR, отработать по одной из политик разглашения, опубликовать на сайте, пресс-релиз какой-то повесить, съездить на PHDays.

4. В исключительном случае, если есть некоторый поток - создать свой продукт, такой например и продавать самостоятельно.

5. Забить.

Вот собственно и все. Обычно варианты особенно не совместимы. Разве что PR и публичные программы вознаграждения.
Реакция на предложение Google отработать уязвимость в рамках коммерциализированной версии "ответственного разглашения" вызывает удивление. "Не продам,  они ее исправят" - совсем не похоже на позицию "белой шляпы". Скорее наоборот. Позиция совсем себе жидохекерская.

Как-то один из разработчиков, устраняя обнаруженную Positive Research уязвимость спросил "Зачем вы это делаете?! Хотите сделать мир лучше?". Интересно, какова бы была его реакция на заявления, аналогичные высказыванию  г-на Бекрара.

PS. Сдается мне, при таком подходе скоро, как в том анекдоте - придет лесник и всех разгонит. Учитывая частоту появления слова "кибервойна" в СМИ недолго ожидать и конвенции "о кибероружии". Тем более локальные законодательные акты, подобные тому, который привел к появлению сайта http://germany.thc.org/ уже принимаются.


Responsible Disclosure умирает. Теперь каждый сам за себя.

11 комментариев:

d_olex комментирует...

Если компания (Vupen, например) делает бизнес на продуктах или услугах, неотемлемой частью которых является наличие уязвимостей нулевого дня -- то с чего бы им убивать эти нульдеи?
И вообще: “We don’t work as hard as we do to help multibillion-dollar software companies make their code secure. If we wanted to volunteer, we’d help the homeless.”

Andrew Petukhov комментирует...

Ну если они занимаются пентестами, им полезно иметь ломик в рукаве (я кстати недавно писал об этом у себя http://andrepetukhov.wordpress.com/2011/12/27/dirty-magic-penetration-testing/)

asintsov комментирует...

Не вижу проблем. Одна компания написала крутой сканер, и продает его вместе с поддержкой. Другая компания ищет уязвимости/пишет эксплойты и продает их. При чем тут "вейт-хат"? Это бизнес. Да и Лесник сам охотно покупает эти самые сплойты, нафига разгонять? Скорее появится второй "Вупен", который будет продавать эксплойты уже в Россию, Иран и Китай =)) Подожди, подожди... а как же наша "отечественная" http://intevydis.com/vulndisco.shtml?

asintsov комментирует...

На ответ, зачем это делает ПТ, так же может быть и другой ответ:
1) ПР наших консалтинговых услуг.
2) Как следствие - ПР сканера.
3) Прибыль

Любая компания, которая занимается пен-тестами и прочим таким стафом, просто не может не иметь собственных адвайсори, багов, 0деев и тд. Во-первых, это все "появляется" само - во время работ. Во-вторых, именно так и должно быть. На западе почти у всех годных компаний есть свои лаборатории с адвайсори, исследованиями и тд. И это правильно. Не иметь такой штуки могут позволить себе только компании:
а) Работающие со "своими" клиентами. Роспил тот же... .
б) Компании не ищущих уязвимости. Тупо сканеры+иммунити кнавас стайл. То есть не пен-тестеры, а скрипт-кидисы 8)

Илья комментирует...

Серег, ты просто, полагаю, далек от этого, как от постоянного процесса.

Я же смотрю на отношение производителей к нашей работе (SAP прежде всего, где у нас процесс идет постоянно) и понимаю, что эта фраза очень точно выражает наше отношение ко всему этому процессу, которое складывается у нас, особенно последнее время (последний год особенно). Первые пару лет постоянной плотной с ними работы было еще ладно (первый год в году так 2008 мы просто год тупо потратили на то, чтобы просто уговорить SAP сделать офиц. страницу с благодарностями исследователям, что они и сделали году так в конце 9 года); но сейчас я сам думаю практически аналогично:
“We don’t work as hard as we do to help multibillion-dollar software companies make their code secure. If we wanted to volunteer, we’d help the homeless.”
Так что я хорошо понимаю вупен и не вижу в этом проблем. Получается у них за нормальные бабки продавать 0-деи и молодцы, и правильно. Потому что производители реально забодали своим отношением и совершенно не ценят политику фул дискложер.

пс. а с названием топика ты "зажег"

Vladimir комментирует...

Киньте в меня шапкой, если не держите под webapps уязвимости, о которых не разглашаете.
Пентестеры всегда имеют ломики в рукавах, просто об этом можно не говорить, а можно как Vupen пиариться =)

asintsov комментирует...

Владимир, имеем до "первого применения" у заказчика. Что потом в отчет писать? Есть проблема, класса 0дэй, но мы Вам не расскажем 8) И почему тока под вебаппс? Шапку жалко...

NTarakanov комментирует...

Есть ещё 6-й пункт: кинуть всю инфу в full-disclosure и зарелизить эксплоит/PoC в паблик.
P.S.Сергей, поправь имя Бекрара: Chaoki - французское имя и читается как Шауки.

Vladimir комментирует...

Лех, это вопрос творческий, как раз Андрей писал как это может быть сделано.
Кстати, что заказчики сами бегут баги править к вендору после отчета?
Да, буду как все, заведу тему: http://oxod.ru/?p=361

asintsov комментирует...

Заказчики - бывает что и сами бегут, например в случае отечественных вендоров.
В остальных случаях:
"бла-бла-бла - проблема класса 0дэй. Вот вам решение workaround, а мы пока свяжемся с вендором, напишем адвайзори и через пол-годика, год будет и патч 8)"
P.S, Я тож, пойду, блог на русском заведу =)

Anton Rulsov комментирует...

кстати, если кто надумает продать 0-day - есть заинтересованные люди