среда, 20 июня 2012 г.

Брюс Шнайер: Вот почему новый рынок уязвимостей так опасен...

http://www.schneier.com/crypto-gram-1206.html#1

Целиком и полностью поддерживаю, о чем писал ранее: http://sgordey.blogspot.com/2012/03/blog-post_24.html

Именно поэтому на PHDays hack2own мы фактически платим за Responsible Disclosure (http://digit.ru/it/20120601/392236598.html). Понятно, что Positive Technologies не NSA, бюджеты не те... Но так хочется сделать мир немного безопасней. 


Не удержался, перевел.







Рынок уязвимостей и будущее безопасности
Недавно было опубликовано несколько статей о рынке эксплойтов для уязвимостей «нулевого дня» (zero-day, 0-day): новых и незакрытых проблемах в безопасности. Это не только те ситуации, когда компании-разработчики платят тем исследователям, которые извещают их об уязвимостях, что позволяет устранить недочеты. И не только преступные группы, которые платят за уязвимости. Сейчас появились правительства, и компании, работающие с правительствами, которые  скупают уязвимости, чтобы сохранить их в секрете и иметь возможность  проводить атаки с  их использованием.
Этот рынок гораздо больше чем представляет себе большинство людей и он растет. Forbes опубликовал недавно прайс-лист эксплойтов «нулевого дня» и историю хакера, который получил 250 000 долларов США от «подрядчика правительства США». В первый момент я не поверил в истории и реальность этого прайс-листа, но затем убедился в том, что это правда. (Вполне себе история. Стоимость правда стоит разделить на N, но на то он и Forbes. sgordey). Журнал опубликовал профиль компании Vupen, чей бизнес строится на продаже уязвимостей и эксплойтов «нулевого дня». Множество других компаний - от стартапов Netragard и Endgame до крупных военных подрядчиков, таких как Northrop Grumman, General Dynamics и Raytheon - промышляют тем же.
Это разительно отличается от ситуации 2007 года, когда исследователь Charlie Miller рассказывал о своих попытках продажи эксплойта «нулевого дня» и опроса 2010 года, который показал, что на продаже уязвимостей много не заработаешь. Рынок существенно созрел за последние несколько лет. (Да и Чарли сейчас уже да, другой Чарли. sgordey)
Этот новый рынок перестраивает экономику поиска уязвимостей. И он делает это в ущерб всем нам.
Я заявляю, что процесс поиска уязвимостей в программном обеспечении повышает общую безопасность, поскольку экономика охоты за багами основывалась на разглашении информации. Пока основным доходом от поиска уязвимостей была известность, публичное раскрытие уязвимостей было единственным очевидным путем. Фактически индустрии понадобились годы, чтобы пройти путь от full-disclosure (полное разглашение) – публичного раскрытия деталей и гори оно все конем – до чего-то, называемого "responsible disclosure" (ответственного разглашения): предоставления разработчику возможности предварительно устранить проблему.
Изменение экономики позволило получать за поиск уязвимостей не только хакерскую славу, но и приличные консалтинговые темы, ведь исследователю, ответственно подходящему к уязвимостям можно доверить ответственные исследования.  Но, несмотря на мотивацию, разглашенная уязвимость – устраненная уязвимость. В большинстве случаев. (рано или поздно. sgordey) А устраненная уязвимость делает всех нас более защищенными.
Вот почему новый рынок уязвимостей так опасен. Он приводит к тому, что уязвимости остаются в секрете и не устраняются. Более высокая доходность нового подхода по сравнению с открытым рынком уязвимостей означает, что больше хакеров будет выбирать этот путь.  И в отличие от известности, новый рынок мотивирует разработчиков добавлять уязвимости в разрабатываемые ими продукты и тайно перепродавать их правительственным агентствам.
Ни один из коммерческих производителей не обеспечивает такой уровень анализа исходного кода, который бы позволил им обнаружить и подтвердить, что подобный саботаж был осуществлён умышленно.
Еще более важно то, что новый рынок уязвимостей приводит к тому, что различные государственные учреждения по всему миру будут заинтересованы в том, чтобы уязвимости оставались незакрытыми. От правоохранительных служб (таких как ФБР и полиция Германии, которые пытаются создать систему выборочного наблюдения за Интернет) до разведывательных агентств, таких как АНБ (которые пытаются создать систему тотальной слежки в Сети), и  даже  военных организаций (которые пытаются создать кибер-оружие).
Все эти учреждения уже давно стоят перед выбором, использовать ли вновь обнаруженные уязвимостей для защиты или для нападения. (стоят, и таки все не решили? sgordey). Внутри АНБ для подобных разногласий между группами COMSEC (защита коммуникаций)  и SIGINT (радиотехническая разведка) традиционно использовался термин  «equities issue» (гугл сказал, что «акций вопрос», я прочитал как ацкий вопрос, кто прав? sgordey). Если обнаруживался недочет популярного криптографического алгоритма, они могли использовать это знание для того, чтобы исправить алгоритм и сделать связь безопаснее для всех, или для того чтобы перехватывать сообщения, но в тоже время оставлять беззащитными даже тех людей, которых они хотят защитить.  Эта дискуссия продолжалась внутри АНБ в течение десятилетий. Из того, что я слышал, к 2000 году позиция COMSEC побеждала, но все полностью изменилось после 9/11. (В сетевой безопасности такой вопрос не стоит. Выборочные патчи, специализированные «секретные» IPS позволяют решить ацкий вопрос. Более того, Chaouki Bekrar, директор Vupen's CEO сказал мне Hackito Ergo Sum 2012, «Все так. Это из области выборочной защиты и выборочной уязвимости. Мы можем выбирать того, кто будет защищен».  Да и в криптографии почему-то сразу вспоминаются S-блоки. sgordey)
Весь смысл раскрытия информации об уязвимостях – оказать давление на производителей с целью выпуска более безопасного программного обеспечения. Дело не только в том, что они устраняют уязвимости, которые доводятся до сведения общественности - боязнь негативных отзывов подвигает их к использованию более безопасных процессов разработки программного обеспечения. Это еще один экономический процесс: инвестиции на разработку исходно надежного программного обеспечения меньше, чем ущерб от негативных отзывов в прессе после разглашения уязвимости, и расходы на подготовку и развертывание исправлений. Я первым признаю, что это не идеальная ситуация - по-прежнему есть много очень плохо написанных программ, - но это лучший из стимулов, что у нас есть.
Мы всегда ожидали, что АНБ, и подобные ему, будут держать обнаруженные уязвимости в тайне. Мы рассчитываем, что сообщество будет обнаруживать и публиковать уязвимости, заставляя производителей исправлять проблемы. С появлением новых стимулов для сохранения уязвимостей «нулевого дня» в тайне, и продажи экплойтов для активного использования, уменьшается заинтересованность поставщиков программного обеспечения в обеспечении безопасности своей продукции.
В то время как мотивация хакеров к сохранению уязвимостей в секрете растет, мотивация разработчиков к созданию безопасных систем падает.  В недавнем эссе EFF назвал это "безопасность для 1%". И это делает нас всех менее защищенными.
Ссылки
This essay previously appeared on Forbes.com.
http://www.forbes.com/sites/bruceschneier/2012/05/...
Exploit price list:
http://www.forbes.com/sites/andygreenberg/2012/03/...
My original blog post on the price list:
http://www.schneier.com/blog/archives/2012/04/...
Vupen profile:
http://www.forbes.com/sites/andygreenberg/2012/03/...
Other companies selling exploits to the government:
http://mobile.businessweek.com/magazine/...
2007 Charlie Miller paper:
http://securityevaluators.com/files/papers/...
EFF essay:
https://www.eff.org/deeplinks/2012/03/...
Presentation along similar lines as this essay:
https://www.owasp.org/images/b/b7/...

6 комментариев:

Сr4sh комментирует...

Ok, и что вы в связи с этим предлагаете делать?

Alexey Sintsov комментирует...

Думаю, что это "философский вопрос". Ну и вольно цитируем Чарли Миллера: "Каждый раз мой выбор сложен: либо защитить всех, либо обновить кухню..." 8)

Sergey Gordeychik комментирует...

Вопрос не философский, а достаточно практический. Ответы правда получаются поганенькие :)

Сr4sh комментирует...

Sergey Gordeychik:
А на основании чего вы считаете, что этот вопрос вообще стоит?
Говерменты и спецслужбы сотрудничают с исследователями с целью покупки эксплойтов для своих сомнительных афёр -- их такой сценарий устраивает по-умолчанию.
Исследователи тоже довольны: где им ещё будут платить за раз суммы с пятью нулями в USD.
Производителям софта как-то мало дела до всей этой движухи: уязвимости в их продуктах существовали всегда, и ихнему бизнесу это как раньше не вредило, так не вредит и сейчас.
Армии пользователей софта так вообще без разницы -- о том, что такое "уязвимость" и "эксплойт" из них слышало в лучшем случае полтора человека и то весьма туманно.

В общем, все эти модные в последнее время крики по поводу "вюпен, нульдеи, чорный рынок, кровькишки" считаю не более чем попыткой пропиариться / привлечь внимание.

Анонимный комментирует...

"Понятно, что Positive Technologies не NSA, бюджеты не те... Но так хочется сделать мир немного безопасней."

я прям прослезился :)
какая потетика ...
ну самому то не смешно такое писать а, ну чесслово

Sergey Gordeychik комментирует...

>ну самому то не смешно такое писать а, ну чесслово

А что не так? Поддерживаем responsible disclosure в меру сил. С бюджетов в несколько раз превышающим bounty program от Yandex например.

>А на основании чего вы считаете, что этот вопрос вообще стоит?

На основании догадок. Ощущений. Футуристических предсказаний.

Пока на эту задачу работали одиночки или конторы из полутора человек, это было исключением и общее влияние на ситуацию было небольшим. Сейчас подход "выборочной защищенности" становится правилом, причем рынок судя по комментариям признает это правило достаточно справедливым. Понятно что в реальном мире, например в правоприменении, де-факто подобное тоже существует, но как нечто негативное, всеми осуждаемое. Корупция-шмарупция, уехал в Лондон.
Однако в основе все равно лежат принципы равенства перед законом и неотвратимости наказания. Если мы изначально исходим из идеи что в сетевом мире средства защиты (и нападения) априори доступны не всем (даже за разумные деньги), мы изначально строим мир победившего волчьего капитализма.

Что касается исследователей, то их довольство в данной ситуации временно. Поскольку в мире победившего капитализма никто не позволит людям генерирующим ценность соизмеримую с "суммой с пятью нулями в USD" ходить самим по себе.

Неминуемо возникает регулирование, либо "неформальное", а-ля "крыша", либо законодательное. А тут и почва благодарная - объявляем все это дело кибероружием и обязуем сдавать на благо отчества :) За акт покупки-продажи "мимо" регулятора - турма.
Все, халява кончилось. Это естественный путь развития подобной ситуации имхо.