Критерии оценки стоимости уязвимостей программного обеспечения

В данном сообщении проводится анализ основных параметров, влияющих на стоимость уязвимости нулевого дня, найденной в программном обеспечении, а также важных критериев, учитываемых при её продаже, основные каналы продажи или публикации уязвимостей.

В последнее время исследователи всё чаще и чаще отмечают тенденцию роста рынка уязвимостей нулевого дня в программном обеспечении. Значительно вырос спрос на подобный товар, за ним растёт и предложение. Программные уязвимости в последнее время всё чаще и чаще сравнивают с оружием, кибероружием.

Стоит отметить, что в отличие от классического оружия, уязвимости куда более краткосрочный и ненадежный товар. В любой момент известную только нескольким людям уязвимость, может найти кто-то другой, опубликовать её, сразу снизив ценность подобного знания практически до нуля. На ум приходит ассоциация с рынком скоропортящихся продуктов, в котором продавец заинтересован как можно быстрее продать свой товар.
Пути сбыта уязвимостей нулевого дня

Исследователь, нашедший уязвимость может пойти различными путями, в зависимости от своего благочестия и желания заработать. Ниже приведены основные возможные применения для найденной программной недоработки:

1. Оповещение разработчика программного обеспечения. По мнению многих специалистов в области информационных технологий, с моральной точки зрения, данный путь наиболее верный. Некоторые компании платят за найденные уязвимости, однако, данный метод, чаще всего, уступает в прибыльности следующему. Например, Mozilla предлагает за найденные уязвимости 3000 долларов США, Facebook предлагает награды размером от 500 долларов США, Google предлагает 30000 долларов США[1] и т.д. Также, известны открытые конкурсы, в которых может поучаствовать любой желающий. Участникам предлагаются различные призы за поиск уязвимостей в программном обеспечении, с последующим раскрытием всех её деталей разработчику, а также помощь в её устранении. Среди наиболее известных подобных конкурсов достойны упоминания такие как Pwn2Own и Pwnium. Однако, суммы, которые возможно заработать на подобных конкурсах, куда меньше того, что можно заработать, продав уязвимость на теневом рынке[2].

2. Продажа уязвимости на теневой рынок. Данный метод наиболее прибылен, ведь, в зависимости от различных характеристик найденной программной недоработки, исследователь может получить значительную сумму денег, иногда достигающую миллион долларов. Покупателем в этом случае может выступать как государственная структура, так и частное лицо (например, компании, занимающиеся разработкой защитного программного обеспечения, такого как антивирусы, брандмауэры, сканеры уязвимостей и прочие.). Важно отметить, что даже несмотря на то, что операции в данном секторе не подлежат огласке и всячески скрываются, они могут быть вполне легальны. Одной из важнейших проблем данной категории действий является тот факт, что, несмотря на многие меры предосторожности при продаже, казалось бы, легитимным покупателям, уязвимости всё же могут попадать в ненадежные руки.

Примером может служить американская компания Blue Coat Systems of Sunnyvale, Calif., оборудование которой было использовано в Сирии, несмотря на то, что данная страна находится в сильно ограниченном списке эмбарго на экспортирование товаров из США[3]. Очень часто, уязвимости продаются через посредников, естественно, работающих за компенсацию в виде определенного процента от сделки. Среди наиболее выгодных покупателей уязвимостей отмечаются правительства западных стран, в особенности США. Притом, решающим фактором в данном случае выступает не столько этические соображения, сколько цена, предлагаемая за уязвимости.

В качестве не столь выгодных покупателей упоминаются Россия и Китай. Первая из-за во-первых не таких выгодных цен, а во-вторых, из-за того, что уязвимости, проданные в Россию «умирают» за считанные дни, будучи реализованными в «очень грубой и посредственной манере». В Китае ситуация характеризуется большим количеством «патриотичных» хакеров, продающих уязвимости только своему правительству, что значительно снижает цены на них[4].

3. Использование уязвимости для создания вредоносного программного обеспечения. Данная категория возможных действий является наиболее потенциально разрушительной по сравнению с остальными, однако, как только вредоносное программное обеспечение начнёт распространяться, начнётся исследование вредоносного кода, и, чаще всего, последует скорое появление патча-заплатки для уязвимости, в то время, как уязвимость, последовавшая по предыдущему пути может очень долго оставаться неизвестной.

Критерии оценки стоимости уязвимости нулевого дня
Стоимость уязвимости может зависеть от многих параметров, основные из них будут рассмотрены далее:
1. Программное обеспечение, в котором была найдена уязвимость. Например, Энди Гринберг (Andy Greenberg) приводит в своей статье цифры, представленные в Таблице.1. В данном случае, по мнению автора, играет роль то, насколько сложно взломать данный программный продукт, а также уровень его распространенности среди пользователей[2][4].

12334

2. Версия продукта, в которой уязвимость работает. Недоработки в последних версиях программных продуктов значительно ценней.
3. Эксклюзивность уязвимости. Например, в договоре указывается, что уязвимость не будет продана кому-либо ещё.

Известны компании, которые специализируются на поисках уязвимостей в программном обеспечении и их последующей продаже. Например, компании Netragard, Vupen. Некоторые называют подобные компании «современными торговцами смертью», продающими «пуля для современной кибервойны»[2][4][5].

Заключение
В современном мире информационные технологии развиваются очень быстро.

К сожалению, для того, чтобы идти в ногу со временем, а также получить максимальную прибыль, многие компании выпускают на рынок недоработанные продукты, содержащие множество уязвимостей. Хорошо когда подобные недоработки замечают работники компании, или исследователь, который проинформирует разработчика. Однако, очень часто подобные уязвимости попадают в руки недобросовестных разработчиков, которые создают вредоносное программное обеспечение, которое будет использовано во вред пользователям.

С другой стороны, невозможно выпустить на рынок идеальный продукт, в котором не будет ни единой уязвимости, невыгодно тратить ресурсы на бесконечное тестирование и доработку в лабораторных условиях.

Разработчикам выгодно выпустить свой продукт на рынок как можно скорей. Вот только как же найти ту самую золотую середину между временем разработки и сыростью продукта?
Список литературы

[1] R. Boehme, «Vulnerability Markets. What is the economic value of a zero-day exploit?».
[2] Z. Zorz, «How much does a 0-day vulnerability cost?,» 26 March 2012. [В Интернете]. Available: http://www.net-security.org/secworld.php?id=12652. [Дата обращения: 20 July 2012].
[3] J. Valentino-Devries, P. Sonne и N. Malas, «U.S. Firm Acknowledges Syria Uses Its Gear to Block Web,» 29 October 2011. [В Интернете]. Available: http://online.wsj.com/article/SB10001424052970203687504577001911398596328.html. [Дата обращения: 20 July 2012].
[4] A. Greenberg, «Shopping For Zero-Days: A Price List For Hackers’ Secret Software Exploits,» 23 March 2012. [В Интернете]. Available: http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/. [Дата обращения: 20 July 2012].
[5] A. Greenberg, «Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees),» 21 March 2012. [В Интернете]. Available: http://www.forbes.com/sites/andygreenberg/2012/03/21/meet-the-hackers-who-sell-spies-the-tools-to-crack-your-pc-and-get-paid-six-figure-fees/. [Дата обращения: 21 June 2012].

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы