Поэтому в IT-индустрии сформировалось целое направление работы по выявлению уязвимостей в представленном на рынке программном обеспечении (ПО) для того, чтобы вовремя закрыть их. В этой работе, помимо самих создателей того или иного ПО, участвуют и их коллеги по отрасли. Несколько неожиданно одним из лидеров среди охотников за «дырами» по итогам 2013 года оказалась компания HP, которую знают преимущественно как производителя принтеров, персональных компьютеров, серверов и программного обеспечения для всех этих устройств.
Для того, чтобы «закрыть калитку» перед злоумышленниками, в HP не только используют собственные ресурсы, но и привлекают так называемых «белых» хакеров.
Как найти прореху
В HP поиском уязвимостей занимается подразделение HP Security Research (HPSR). Однако никакое утроение бюджетов безопасности не позволит современной компании в одиночку защититься от IT-угроз. Поэтому борцы с хакерами объединяются. Например, в исследовательскую программу безопасности HP входят производители ПО, а также университеты и научные организации, такие как ЦЕРН (Большой адронный коллайдер обслуживает мощная компьютерная система, и потеря данных из нее была бы фатальна для проекта).
Всего в исследовательскую группу HP входит свыше 2650 человек, и данные об уязвимостях рассылаются более чем 2000 клиентам. Получая эти данные до обнародования информации о находке уязвимого места в программе, разработчики имеют возможность выпустить обновление, закрывающее «дыру» в безопасности.
Компания HP использует фирменную систему HP Treat Central для автоматизированной рассылки информации о новых обнаруженных угрозах. При этом учитывается, кто из исследователей какой проблемой занимается, какой уровень доступа имеет, чтобы им не приходилось самостоятельно рыться в базах данных информации об уязвимостях.
Хакер хакеру рознь
Кроме штатных сотрудников организаций, уязвимости выискивают хакеры. Все хакеры делают одно и тоже, но, в зависимости от того, как они поступают с обнаруженными «дырами» в ПО, их принято делить на категории. Правда, многие считают, что это деление очень и очень условное.
«Черными» называют тех, кто продает данные о путях проникновения в IT-системы злоумышленникам и преступным группировкам. На черном рынке нет четких ориентиров ценообразования, но, по неофициальным оценкам, за обнаруженную уязвимость хакеры могут получить до 100 тысяч долларов. «Серые» хакеры продают информацию о «дырах» респектабельным покупателям, включая государственные структуры. При этом законность такой продажи бывает сильно разной в зависимости от конкретного случая. «Белые» хакеры сообщают об обнаруженных проблемах в защите ПО непосредственно производителям.
Чтобы повысить мотивацию перехода хакеров «на светлую сторону», разработчики устраивают для них конкурсы и назначают награды за найденные уязвимости. Например, в 2013 году на конкурсе Pwn20wn были выявлены 33 бреши в защите продуктов Adobe, Apple и Google. Главный приз в размере 50 тысяч долларов получила группа из трех специалистов, обнаруживших уязвимость в Google Chrome. Эта сумма меньше, чем потенциальная цена информации о найденной проблеме на черном рынке, зато доход абсолютно легальный.
На поощрение «белых» хакеров тратятся немалые деньги. Например, HP выплатила 10 миллионов долларов на премии в конкурсах и гранты охотникам за «дырами» в рамках лишь одной программы борьбы с так называемыми уязвимостями нулевого дня.
Откуда берутся «дыры»
Проверка продукта на безопасность — обязательный этап перед выпуском на рынок, но часто разработчики не учитывают неразумных действий пользователей или не могут предусмотреть все комбинации взаимодействия ПО, которыми пользуются злоумышленники для проникновения в систему. Проблемы имеются даже у программ с открытым кодом, хотя там с исходными файлами годами работают тысячи человек. Пример: недавно открытая «дыра» Shellshock в безопасности Linux.
При написании программ первоочередное внимание уделяется тому, чтобы они правильно работали, а вопросы безопасности решаются уже во вторую очередь, объясняет Арт Джиллиленд (Art Gilliland), старший вице-президент и генеральный менеджер подразделения HP Enterprise Security Products.
Еще одно слабое звено в безопасности — сам пользователь ПО. «У нас нет защиты от глупости пользователя», — говорит Дункан Браун (Duncan Brown), директор аналитической компании Pierre Audoin Consultants. В частности, он считает, что устарела идеология применения пароля — людям трудно запомнить длинные пароли, и пароли либо записывают, либо делают слишком простыми. Джиллиленд уточнил, что можно повысить надежность даже коротких паролей, если комбинировать их с другими средствами защиты, например, такими как смарт-карты (карты с встроенной микросхемой, на которой записан код для доступа к системе).
Добавляет трудностей переход на мобильные устройства. Сейчас большинство систем безопасности ориентированы на «защиту периметра», контроль определенного набора компьютеров и серверов, установленных внутри компании, к которым ведет известное число каналов. Однако мобильный доступ позволяет сотрудникам входить в корпоративную сеть из офиса. И наоборот, подключившись к сотовой сети в офисе, пользователь потом может перейти на внутреннюю сеть и занести вирусы, только что полученные из интернета. Современное ПО должно это учитывать, надо переходить от защиты устройств к защите данных.
День нулевой
Уязвимости нулевого дня — это те «дыры» в ПО, о которых еще неизвестно производителю. Они наиболее удобны для хакеров, потому что проникновения через них трудно зарегистрировать. Для обнаружения таких дефектов ПО в 2001 году компания TippingPoint организовала группу ZDI (Zero day initiative). В 2005 году группа была поглощена 3com, а в 2009-м ее продали в HP, где в 2012-м ее бюджет утроили. По результатам 2012 года аналитическая компания Frost&Sullivan отметила, что 25 процентов выявленных брешей в защите ПО были обнаружены в рамках ZDI.
В текущем году разработчиками ПО созданы патчи (исправления) для более чем 330 «дыр» в безопасности, обнаруженных ZDI. Информация примерно о 200 уязвимостях передана производителям и ожидает окончания установленного 6-месячного «периода молчания» перед ее публичным разглашением. Для сравнения, только за год разработчики всего мира обнаруживают 5-6 тысяч уязвимостей.
Стоит отметить, что ZDI не просто отделение HP — это проект, в котором участвуют программисты других компаний и опять-таки независимые хакеры. Причем последних никто не тащит в суд, потому что они «белые».
Александр Баулин