Anti.security
Сравнительно недавно в сети появился проект, манифест которого в двух словах можно передать так: "Цель данного движения состоит в том, чтобы поощрить и развить новую политику "нераскрытия информации об уязвимостях" среди лиц и обществ, занимающихся сетевой безопасностью".
В принципе, политика проекта продолжает стратегию действий наиболее крупных и уважаемых групп — к примеру, ADM или же w00w00. Цели, о которых говорит координационная группа проекта, вполне ясны и понятны с одной стороны — "остановить разглашение всех неизвестных или не подлежащих разглашению, непубличных эксплойтов и уязвимостей, которые могли бы позволить script kiddies проникать в системы неизвестными методами."
Данной политике пытаются следовать многие — даты, прошитые в исходниках многих эксплоитов на три-четыре месяца предшествуют дате обнародования уязвимости.
Как правило, эксплоит публикуется тогда, когда автор понимает, что круг лиц, владеющих программой, стал слишком широк и не поддаётся контролю. Вместе с тем, имеется процент тех, для кого и был в первую очередь создан проект — многие публично заявляют об уязвимостях ради славы или же возможности найти работу — во многих сообщениях на BUGTRAQ имеется ссылка на резюме автора.
Однако при попытке проследить развитие событий с условием воплощения идей проекта в жизнь нашим глазам предстает несколько иная картина.
Действительно, как утверждают некоторые аналитики, публичное распространение proof-of-concept code всегда влечет за собой всплески киберпреступности — вряд ли тот, кто публично сообщил об уязвимости, будет совершать массовые "показательные взломы" — да и что бы не говорили, 90% подписчиков BUGTRAQ — вовсе не системные администраторы, а толпа kiddies, ожидающих нового эксплоита.
Не совсем правильным будет думать и о том, что в случае нераспространения информации об уязвимостях контроль будет сосредоточен в руках групп, владеющих способами их использования — если попытаться померить все статистикой, ущерб по такому сценарию будет на порядки ниже того, что мы имеем сейчас.
Один из пунктов "anti-security policy" позволяет персоне, обнаружившей уязвимость, поделиться информацией с доверенными лицами — к примеру, с остальными членами группы или же с начальником отдела :).
Итак, в случае соблюдения большинством персон, занимающихся аудитом кода и сетевой безопасностью правил anti-disclosure в прогрессе информация об уязвимостях будет сосредоточена у многочисленных групп, непосредственно занимающихся разработкой.
BUGTRAQ, PACKETSTORM продолжат традиции превращения в бизнес-порталы и большинство выходящих на них новостей будут пресс-релизами компаний о выходе нового продукта или же сводками правительственных органов по ситуациям, связанным с киберпреступлениям.
Как правило, аналитикам чужда конкуренция или же беспричинная вражда, в отличие от kiddies groups — это не показатель большого ума и выдержанности.
Аналитики общаются друг с другом, консультируются друг у друга по ходу разработки — то есть находятся в нормальных рабочих отношениях — движимые не погоней за деньгами и славой, а здоровым познавательным интересом.
Аналитики из разных групп знают друг друга, часто в курсе проекта, реализуемого коллегой из другой группы. Координаторы групп часто знакомы с положением дел у соседей — так же на сцене наблюдается своеобразная "ротация кадров", что тоже способствует обмену информацией между группами. В итоге с течением времени можно будет вычленить общество персон, знакомых друг с другом и владеющих экслюзивной информацией об обнаруженных за период времени уязвимостях с существующей системой внутреннего разделения допуска к информации и легким недоверием друг к другу.
Вопрос лишь в том, какая из организаций, занимающихся безопасностью более общего рода, усмотрит в сложившейся почти естественным образом структуре свой новый и очень перспективный в условиях бурного развития информационных технологий отдел.
мнение редактора "СР" (субъективное)
Можете забросать меня гнилыми помидорами, огрызками, задушить куском патч-корда и т. д., но мнение мое по поводу данной инициативы, которая вынашивалась в недрах сетевого сообщества уже, дай бог памяти, года два, однозначно — инициатива эта по всем статьям плохая, вредная и ущербная! И вот почему я так думаю.
За что сетевому администратору деньги платят? Уж наверное не за то, чтобы с у тра до вечера в серверной квэйка гонять и анекдот.ру читать, правильно? И в том числе деньги платят за то, чтобы на любую проблему — возникни она по вине администратора, производителя ПО или злобных хакеров — была выказана незамедлительная реакция. Если администратор имеет возможность оперативно получать информацию о возникших проблемах в защите ПО, у него есть возможность маневра: запросить заплату у производителя ПО, попытаться написать заплату или нечто подобное самому, ужесточить правила файерволлинга (например, пропускать все запросы на "продырявившийся" сервис только через некий шлюз, способный отфильтровать и отбросить вредоносные запросы), оперативно заменить (навсегда или до выхода патча) продырявленный демон на благонадежный.
Представьте себе теперь ситуацию, когда крупные узлы по безопасности, к регулярному посещению которых администраторы уже привыкли, вдруг перестанут публиковать оперативную и точную информацию по дырам. Вы уверены, что процесс поиска уязвимостей сосредоточится в рамках узкого круга экспертов? Я — нет. Каждый школьник, теоретически, может стать первооткрывателем дыры даже в самом навороченном ПО, просто "по дури" послав в первый попавшийся открытый порт некую случайную комбинацию символов. И вместо того, чтобы аккумулироваться в доступных для администраторов местах, информация об уязвимостях будет оседать на задворках всемирной паутины (а-ля персональная страница Васи Пупкина), в лучшем случае — на так называемых хакерских сайтах, а пересмотреть их все вдоль и поперек — дело гиблое. В результате информация о дырах будет постепенно распространяться среди kiddies, которые за время до выхода официального патча могут провести не десятки — сотни, а то и тысячи атак, а у администратора будут связаны руки. Сиди, мол, и жди.
Я очень хорошо понимаю резон экспертов — "элиты" сетевой безопасности. Им, как и нашему брату-администратору, тоже надо зарабатывать денежку. Если политика неразглашения вступит в силу — можно будет потрясти свободно конвертируемые копеечки из столпов сетевой и софтверной индустрии ;) Более того, есть резон предполагать, что процесс латания дыр во времена "сухого закона неразглашения" пойдет медленнее, поскольку а) если нет угрозы тотального разгрома, учиненного толпами празднослоняющихся script kiddies — незачем спешить с выходом заплаты, что имеет место на сегодняшний день и б) при гипотетической ситуации "полного неразглашения" производителям ПО вообще нет никакого резона заниматься заплатами — зачем в очередной раз признавать свои оплошности, если можно тихонечко исправить ошибки в новой версии — и забыть как страшный сон. А то, что из-за наличия этой дыры — возможно даже по чистой случайности — была покалечена ВАША система... who cares?
В принципе, политика проекта продолжает стратегию действий наиболее крупных и уважаемых групп — к примеру, ADM или же w00w00. Цели, о которых говорит координационная группа проекта, вполне ясны и понятны с одной стороны — "остановить разглашение всех неизвестных или не подлежащих разглашению, непубличных эксплойтов и уязвимостей, которые могли бы позволить script kiddies проникать в системы неизвестными методами."
Данной политике пытаются следовать многие — даты, прошитые в исходниках многих эксплоитов на три-четыре месяца предшествуют дате обнародования уязвимости.
Как правило, эксплоит публикуется тогда, когда автор понимает, что круг лиц, владеющих программой, стал слишком широк и не поддаётся контролю. Вместе с тем, имеется процент тех, для кого и был в первую очередь создан проект — многие публично заявляют об уязвимостях ради славы или же возможности найти работу — во многих сообщениях на BUGTRAQ имеется ссылка на резюме автора.
Однако при попытке проследить развитие событий с условием воплощения идей проекта в жизнь нашим глазам предстает несколько иная картина.
Действительно, как утверждают некоторые аналитики, публичное распространение proof-of-concept code всегда влечет за собой всплески киберпреступности — вряд ли тот, кто публично сообщил об уязвимости, будет совершать массовые "показательные взломы" — да и что бы не говорили, 90% подписчиков BUGTRAQ — вовсе не системные администраторы, а толпа kiddies, ожидающих нового эксплоита.
Не совсем правильным будет думать и о том, что в случае нераспространения информации об уязвимостях контроль будет сосредоточен в руках групп, владеющих способами их использования — если попытаться померить все статистикой, ущерб по такому сценарию будет на порядки ниже того, что мы имеем сейчас.
Один из пунктов "anti-security policy" позволяет персоне, обнаружившей уязвимость, поделиться информацией с доверенными лицами — к примеру, с остальными членами группы или же с начальником отдела :).
Итак, в случае соблюдения большинством персон, занимающихся аудитом кода и сетевой безопасностью правил anti-disclosure в прогрессе информация об уязвимостях будет сосредоточена у многочисленных групп, непосредственно занимающихся разработкой.
BUGTRAQ, PACKETSTORM продолжат традиции превращения в бизнес-порталы и большинство выходящих на них новостей будут пресс-релизами компаний о выходе нового продукта или же сводками правительственных органов по ситуациям, связанным с киберпреступлениям.
Как правило, аналитикам чужда конкуренция или же беспричинная вражда, в отличие от kiddies groups — это не показатель большого ума и выдержанности.
Аналитики общаются друг с другом, консультируются друг у друга по ходу разработки — то есть находятся в нормальных рабочих отношениях — движимые не погоней за деньгами и славой, а здоровым познавательным интересом.
Аналитики из разных групп знают друг друга, часто в курсе проекта, реализуемого коллегой из другой группы. Координаторы групп часто знакомы с положением дел у соседей — так же на сцене наблюдается своеобразная "ротация кадров", что тоже способствует обмену информацией между группами. В итоге с течением времени можно будет вычленить общество персон, знакомых друг с другом и владеющих экслюзивной информацией об обнаруженных за период времени уязвимостях с существующей системой внутреннего разделения допуска к информации и легким недоверием друг к другу.
Вопрос лишь в том, какая из организаций, занимающихся безопасностью более общего рода, усмотрит в сложившейся почти естественным образом структуре свой новый и очень перспективный в условиях бурного развития информационных технологий отдел.
мнение редактора "СР" (субъективное)
Можете забросать меня гнилыми помидорами, огрызками, задушить куском патч-корда и т. д., но мнение мое по поводу данной инициативы, которая вынашивалась в недрах сетевого сообщества уже, дай бог памяти, года два, однозначно — инициатива эта по всем статьям плохая, вредная и ущербная! И вот почему я так думаю.
За что сетевому администратору деньги платят? Уж наверное не за то, чтобы с у тра до вечера в серверной квэйка гонять и анекдот.ру читать, правильно? И в том числе деньги платят за то, чтобы на любую проблему — возникни она по вине администратора, производителя ПО или злобных хакеров — была выказана незамедлительная реакция. Если администратор имеет возможность оперативно получать информацию о возникших проблемах в защите ПО, у него есть возможность маневра: запросить заплату у производителя ПО, попытаться написать заплату или нечто подобное самому, ужесточить правила файерволлинга (например, пропускать все запросы на "продырявившийся" сервис только через некий шлюз, способный отфильтровать и отбросить вредоносные запросы), оперативно заменить (навсегда или до выхода патча) продырявленный демон на благонадежный.
Представьте себе теперь ситуацию, когда крупные узлы по безопасности, к регулярному посещению которых администраторы уже привыкли, вдруг перестанут публиковать оперативную и точную информацию по дырам. Вы уверены, что процесс поиска уязвимостей сосредоточится в рамках узкого круга экспертов? Я — нет. Каждый школьник, теоретически, может стать первооткрывателем дыры даже в самом навороченном ПО, просто "по дури" послав в первый попавшийся открытый порт некую случайную комбинацию символов. И вместо того, чтобы аккумулироваться в доступных для администраторов местах, информация об уязвимостях будет оседать на задворках всемирной паутины (а-ля персональная страница Васи Пупкина), в лучшем случае — на так называемых хакерских сайтах, а пересмотреть их все вдоль и поперек — дело гиблое. В результате информация о дырах будет постепенно распространяться среди kiddies, которые за время до выхода официального патча могут провести не десятки — сотни, а то и тысячи атак, а у администратора будут связаны руки. Сиди, мол, и жди.
Я очень хорошо понимаю резон экспертов — "элиты" сетевой безопасности. Им, как и нашему брату-администратору, тоже надо зарабатывать денежку. Если политика неразглашения вступит в силу — можно будет потрясти свободно конвертируемые копеечки из столпов сетевой и софтверной индустрии ;) Более того, есть резон предполагать, что процесс латания дыр во времена "сухого закона неразглашения" пойдет медленнее, поскольку а) если нет угрозы тотального разгрома, учиненного толпами празднослоняющихся script kiddies — незачем спешить с выходом заплаты, что имеет место на сегодняшний день и б) при гипотетической ситуации "полного неразглашения" производителям ПО вообще нет никакого резона заниматься заплатами — зачем в очередной раз признавать свои оплошности, если можно тихонечко исправить ошибки в новой версии — и забыть как страшный сон. А то, что из-за наличия этой дыры — возможно даже по чистой случайности — была покалечена ВАША система... who cares?
Сетевые решения. Статья была опубликована в номере 03 за 2001 год в рубрике save ass…