Баги у бабки Купівля-продаж вразливостей

баги

дірки

Xakep #239. Розкрити та вивчити

бабки

Xakep #238. Забутий Android

бабки

Xakep #237. Даркнет 2018

купівля-продаж

можна

Xakep #235. Відродження експлоїт-китів

Баги у бабки: Купівля-продаж вразливостей

Зміст статті

IT-індустрія дуже багатогранна. У міру сил ми намагаємося розповідати тобі про найцікавіші, неординарні та прикольні її прояви. Сьогоднішнє оповідання не буде винятком — мова йтиме про ринок купівлі-продажу вразливостей. Так, уяви собі, існує й такий. Якщо хочеш знати, як він працює, читай далі!

Лицьова сторона медалі

Баг, дірка, вразливість, сплойт — ох, вже ці милі хакерському серцю слова! Однак, виявляється, милими вони аж ніяк не тільки хакерам, тестерам і ще з ними — ще існують люди, які заробляють на цих дірах чималі гроші.

Для початку дозволь розповісти тобі про легальний бік питання, тобто про офіційний, «білий» ринок. Сформувався він давно, це явище аж ніяк не нове. Щоб зрозуміти чому, достатньо запитати себе: «Коли комп'ютери набули широкої популярності і стали масовим явищем?», «Як давно з'явилися такі поняття, як софт і діра?» Приблизно одночасно з цими подіями цілком закономірно зародився ринок з пошуку, купівлі та продажу вразливостей. Попит, як відомо, породжує пропозицію.

На сьогодні великих гравців у цьому бізнесі налічується чимало. Хто взагалі зацікавлений у покупці вразливостей? Це урядові агентства, постачальники різних комерційних тулзів, великі пентестерські та консалтингові компанії, приватні особи та багато інших.

Якщо говорити про відомі імена, що вже зарекомендували себе в цій галузі, то, мабуть, якприклад можна навести такі компанії, як iDefense, SnoSoft і VUPEN.

Назвати конкретні ціни на різні дірки, на жаль, неможливо, тому що ціна тут визначається сукупністю безлічі факторів. Наприклад, ти знайшов дірку в IE, скільки вона коштує? Ціна спокійно може коливатися від $5 000 до $250 000, адже на вартість бага впливає все: наскільки поширений «дірявий» додаток, чи багато людей знає про вразливість, наскільки складно було знайти баг. Не менш важливими є й інші нюанси, яких налічуються десятки — наприклад, чи включено додаток по дефолту до складу ОС, чи знайдено баг у серверній частині програми або в клієнтській, чи потрібна автентифікація для використання дірки, чи файрволи справляються із захистом уразливої ​​софтини, потрібно чи для роботи експлойту «допомога» користувача і так далі, тощо. Багато з цих пунктів входять до стандартного «опитувального листа» компаній покупців.

Отже, давай припустимо, що ти знайшов баг.

Куди з ним тікати? Мабуть, я тебе засмучу, але швидко збути дірку з рук і отримати за неї гроші навряд чи вийде. Принаймні легально. Законний продаж у середньому займає від одного до чотирьох місяців, інколи ж цей процес розтягується і на більш тривалий термін.

Спочатку потрібно зрозуміти, скільки коштує твоя знахідка і кому можна вигідно її продати. Справа в тому, що самі виробники софту рідко купують баги. Ні, звичайно, ти напевно чув про те, що в Mozilla готові заплатити $3 000 за баги у Firefox, а Google за вразливість у своєму браузері Chrome згоден розщедритися на $3 133.70 (1337 — це слово elite, написане літспичем). Але це швидше виняток із правил та PR-хід, ніж поширена практика.

Ті, хто серйозно готовий купуватидірки, перераховані вище. Але й тут все не так гладко, як здається. Адже найчастіше просто взяти і викласти всю інформацію про багу покупцю теж не можна, особливо якщо баг новенький, «перспективний» — ризик залишитися і без інформації, і без грошей. Таким чином виходить, що навіть правильно описати і піднести свою вразливість, не видавши її з тельбухами, це вже ціла наука.

Великі гравці ринку, які скуповують уразливості та експлойти, взагалі мають для покупки багів власні спеціальні програми, такі як Zero Day Initiative (zerodayinitiative.com) від Tripping Point, Snosoft program (snosoft.blogspot.com) або iDefense Vulnerability Contributor Program. Найчастіше в рамках таких проектів застосовується схема «спочатку баг, потім гроші». Тобто, ти будеш зобов'язаний надати всю інформацію покупцю до угоди.

Якщо такий розклад тебе не влаштовує, ти впевнений, що твій баг цінний і з якихось причин не хочеш звертатися до «бариг-перекупників», можеш спробувати підшукати покупця сам. Але будь готовий до довгих поневірянь і залучення до угоди третіх сторін як посередник.

До речі, останнє буває актуальним навіть для чорного ринку: адже, як уже було сказано, грамотно описати, піднести і тим більше продемонструвати свою вразливість покупцю — не найпростіше завдання. Багато хто воліє підстрахуватися.

Зворотній бік медалі

Як вірно зазначив Кріс Касперскі, з яким ми обговорювали це питання: «Торгувати дірками закон не забороняє». Це чиста правда, хіба що в деяких країнах встановлені певні заборони — у Німеччині, наприклад, свобода дій у цій галузі є дещо обмеженою.

Якщо в минулі часи однією з основних мотивацій шукачів багів були престиж і крутість, то насьогодні основною рушійною силою, звісно, ​​є гроші.

Фактично спеціаліст з комп'ютерної безпеки або хакер має безліч варіантів поведінки після того, як він знайшов баг. Можна чесно повідомити про нього розробнику, можна викласти його на загальний огляд, можна додати гарний рядок до свого резюме, а можна й продати. Легально чи не дуже. І ось саме спрага наживи і призводить до одного дуже кумедного аспекту цього ринку — найчастіше вразливості продаються не один раз.

Основні покупці дірок - це середнього розміру компанії, що працюють у сфері IT-безпеки. З приватними особами вони практично ніколи не працюють – репутація дорожча. Купівля-продаж у них відбувається, як кажуть, на верхньому рівні — юр. обличчя з юр. особою. Однак основні відкривачі дірок - це саме що фізичні особи, причому відверті хакери-ломачі. Для посередництва між першими та другим потрібні контори типу iDefense. Але ось невдача - проконтролювати хакерів-ламачів все ж таки дуже проблематично :). Припустимо, людина знайшла ексклюзивну інфу про якусь дірку і продав її комусь із великих скупників. А потім посидів, подумав і перепродав її ще раз. І що з нею робити? Адже не вбивати. Так, ти, звичайно, скажеш, що, щоб уникнути такого, досить просто прописати відповідний пункт у контракті, але не рятує і це.

В Україні та Україні ситуація з «ринком багів» взагалі досить сумна — вразливості продають здебільшого з рук, або ж багошукачі зовсім працюють на замовлення. Наприклад, за реверс патчів нашому братові платять близько $200-350 на день, і на все про все зазвичай йде близько тижня часу. За загальносвітовими мірками такі розцінки можна охарактеризувати хіба що фразою «як рабам на плантації», проте для українців це хороші грошібільше, що найнелегальніша частина цього бізнесу — ухилення від податків.

Натомість міф про те, що «погані хлопці» з хакерського андеграунду готові платити нечувані суми за серйозні вразливості, це саме міф. Ні, історія, напевно, знала винятки, але, повір, їх були одиниці. Здебільшого ті, хто займається кіберзлочинами на широку ногу, задовольняються послугами власних умільців — «рабів на плантації». Командам таких реверсерів і платити доводиться набагато менше, і конкретні завдання перед ними можна поставити.

Хто і навіщо купує дірки

Так, попит народжує пропозицію, але хто створює цей попит? Не надто покрививши душею можна відповісти — все. У свіжих уразливості зацікавлені і розробники софту, і пентестери, і фахівці з ІБ, і хакери, і багато інших осіб. Найкраще пояснити на прикладах.

У пентестерів, наприклад, попит мають не лише нові дірки. Цим хлопцям знадобиться все — адже їм, так би мовити, для комплекту. Пентестери використовують для імітації атак все, що тільки можна: фокус у тому, що нормальний IPS (Intrusion Prevention System) лається на всі спроби атак, навіть якщо система залатана та атака обламалася. Тобто якщо ти робиш спробу атаки, а адмін врубав сніффер, то він просіче фішку. Ну а якщо адмін отримає 100 тисяч алертів у лозі? І нехай усі ці 100 000 — це старі та неактуальні дірки, зате спробуй розбери, як таки атакували. Так що пентестерам потрібен хороший експлойт-пак, і навіть якщо дірка вже рік як залатана, вона їм однаково корисна.

Обслуговують такий контингент компанії на кшталт Immunity, Core Security та Rapid7, в іструментарій яких, серед іншого, входять і експлойти з дірками. До речі, не гребують пентестери та купівля багів з рук, у приватних осіб. Заплатятьвони менші, ніж великі скупники, зате не особливо вибагливі у виборі.

З компаніями, які стоять на передовій лінії комп'ютерної безпеки, ситуація обернена. Уяви собі: клієнт купив IPS якоїсь фірми, а цей IPS не бачить і не відбиває нових атак. Зрозуміло, тут пахне викинутими на вітер грошима, суднами та іншими малоприємними штуками.

Так що secure-компаніям життєво важливо дізнаватися про вразливості якнайшвидше. Такі компанії не лише купують дірки за гроші, а й наймають власних фахівців-ломастерів. До того ж, є зв'язки. Усі більш-менш великі гравці ринку тісно працюють із виробниками та їх проблемами. Вони бачать сорці. Менше гравці, які не мають широкого павутиння зв'язків і грошей на штатних реверсерів, змушені купувати інформацію про дірки, як і інші «прості смертні».

Але навіщо? На створення патча все одно знадобиться певний термін, та й реальних збитків від дірок виробник майже ніколи не несе. Тож виходить, що про вразливість все одно дізнаються. І все одно її доведеться фіксувати. Але виробнику немає сенсу платити за те, щоб дізнатися про неї першим. Саме тому пропозиції Mozilla та Google – це звичайний PR, особливо з урахуванням того, що "крутість" дірки вони визначають самі.

Насамкінець зауважу, що все не так страшно, як може здатися. З одного боку, дірок у сучасному софті безліч, вони коштують хороших грошей, продаються і перепродаються з рук в руки, і навіть дуже повільно патчаться. З іншого боку, не варто забувати про те, що реально для масових і серйозних атак використовується незначний відсоток цих вразливостей. Статистика, бач, стверджує, що хакери здебільшого ліниві до жаху :).