Про Responsible Disclosure, Full Disclosure, та чому хакери — це добре для кібербезпеки

та чому хакери — це добре для кібербезпеки

Багато хто звернув увагу на вакханалію розкриття вразливостей у системах Українських державних установ, органів самоврядування та підприємств критичної інфраструктури. Якщо ви провели останні тижні на сонячному пляжі або у темній печері, подивіться на крайні пости Sean Brian Townsend та увійдіть у курс справи. Після цього можете повертатися до цього поста.

Отже, хлопці відриваються в форматі Full Dosclosure: знаходять у системі вразливість та повідомляють про неї публічно. Реакція на таку поведінку в суспільстві неоднозначна: власники вразливих систем, звичайно, нервуються, та реагують в міру власної обізнаності з кібербезпеки. Обізнані втирають сльози, зчіпляють зуби, беруть себе в руки, та виправляють вразливість. Необізнані волають на весь інтернет “це провокація”. Зовсім новачки ще й погрожують хакерам у відповідь, очевидно не маючи жодного уявлення про те, що у нас типу свобода слова, а “злам” — це навмисне подолання заходів безпеки, яких у їхньому випадку тупо не існувало. Спеціалісти з безпеки, принаймні ті, хто не просто так називається, а ще й розбирається в темі, майже одностайні: це краще, ніж мовчати, але… Ось тут можуть бути варіанти.

Але чому ж спеціалісти з безпеки не засуджують такі дії? Адже публічне повідомлення про вразливість інтуїтивно погіршує безпеку системи, хіба ні? Відповідь на це питання дати непросто, плюс для цього треба знати трохи історії, отже дозвольте зробити невеличкий екскурс.

В 90-ті, коли інтернет з’явився в усіх цивілізованих країнах, веб перетворився з академічного інструменту в комерційний, а хакінг став масовим захопленням технічно обізнаної молоді, оця сама молодь першою зрозуміла, що інтернет до неї не готовий. Хакери знаходили вразливості пачками, дехто використовував їх для розваг (перші мережеві та веб-черв’яки не були фінансово вмотивованими), дехто перейшов на темний бік та почав тупо рубати з цього бабло. Але вендори, тобто розробники та продавці програм та систем були майже одностайні: вам не слід шукати та використовувати вразливості в наших системах, або ми вас нафіг засудимо, бо у нас є юристи та лобі в конгресі, а у вас — ні. Хакери, як відомо, не дуже полюбляють таке ставлення, тому десь у ті роки з’явився такий собі список розсилки під назвою Full Disclosure, в який зливалися всі публічні звіти про вразливості, причому робилося це здебільшого анонімно.

Десь наприкінці 90’х, початку 2000’х, найбільш просунуті вендори зрозуміли, що стратегія заперечення проблеми відсутності безпеки в їхніх продуктах — не дуже ефективна. Зокрема, вихід Windows XP показав, що вразливості безпеки являють собою екзистенціальну загрозу компанії Microsoft. Адже коли протягом днів після релізу твого флагманського продукту в ньому знаходять вразливість виконання коду на відстані, яка легко перетворюється на мережевого черв’яка, це, м’яко кажучи, не дуже добре. І десь в районі 2002–2003 років Майкрософт, точніше Білл Гейтс, прийняв рішення щось з цим робити. І не самостійно, а з залученням у процес хакерів з таких легендарних команд, як L0pht Heavy Industries, Foundstone, Sysinternals тощо. Останню, до речі, вони зрештою придбали та зробили частиною компанії. Результатом цієї співпраці програмістів, які пишуть програми, та хакерів, які ці програми зламують, було утворення першої методології Secure Development Lifecycle (SDL) та зрештою — розробка першого більш-менш захищеного продукту компанії Microsoft — SQL Server 2005.

Всі ці зрушення призвели до того, що вендори (не всі) зрештою усвідомили (Oracle так і не усвідомив), що з хакерами потрібно співпрацювати. Але правила цієї співпраці вони встановили власноруч, не порадившись з хакерами. І придумали вони таку річ, як Responsible Disclosure, що означало, що першими про вразливість мають дізнаватися вендори, а хто так не робить — той безвідповідальний. І почався багаторічний holy war між прихильниками Responsible та Full Disclosure, який не припиняється й досі, і повірте мені: ані українська Кібер-поліція, ані Херсонська обласна рада не будуть останньою інстанцією у цих дебатах. Це глобальна дискусія, яка напевно триватиме вічно, тому що в Responsible Disclosure є свої вади, такі як гальмування реакції вендора, а Full Disclosure… а FD, — це FD 🙂

Тому, не дивуйтеся такій поведінці Українського кібер-альянсу. Це олдскул спосіб швидко навести лад на окремо взятій ділянці інтернету. Так, це змушує нервувати дуже багато людей, але місія хакерів саме в цьому і полягає. Щоб люди, від безпеки чиїх систем залежить безпека інших людей, а саме нас з вами, буквально нервували та намагалися захиститися якнайкраще.

Бережіться

Залишити коментар