Организация информационной безопасности


Проблемы ИБ-исследователей вновь на повестке дня

Фотография предоставлена:

Драма, развернувшаяся вокруг легитимных ИБ-исследований, порой начинает напоминать сюжетные повороты цикла романов «Песнь Льда и Огня» за авторством Джорджа Рэймонда Ричарда Мартина.

Чуть ли не каждый месяц очередной исследователь оказывается в ситуации, когда ему угрожает судебное разбирательство со стороны вендора или правительства, а всему виной — его попытки предать огласке результаты своего кропотливого труда. По всей видимости, вендоры и законотворцы никак не могут понять, чем же на самом деле занимаются ИБ-исследователи.

Большинство из них считает, что обнародование информации об уязвимостях в их продуктах является прямой угрозой их интересам. Зачастую приватные разглашения попросту игнорируют и вместо того, чтобы заняться устранением брешей в своих продуктах, таких как программное обеспечение, автомобили или другие устройства, имеющие доступ к Сети, вендоры обрушиваются на ИБ-исследователей с критикой. В то же время законотворцы, вместо того чтобы прислушаться к мнению авторитетных хакеров, попросту игнорируют его, считая последних живущими в подвалах бездельниками, упивающимися энергетиками, которым более нечем заняться. Либо же они вовсю продвигают сомнительные законопроекты вроде Вассенаарского соглашения.

Новейшей жертвой столь неоправданных гонений стал Джанни Ньеза (Gianni Gnesa), исследователь из швейцарской компании Ptrace Security, который должен был выступить с докладом на конференции Hack-in-the-Box GSEC в Сингапуре. Сославшись на давление со стороны вендоров, Ньеза принял решения отказаться от выступления, хотя он уже в частном порядке огласил подробности уязвимостей, найденных им в сетевых камерах безопасности. С его слов, два вендора приняли его отчеты об найденных уязвимостях (один сразу занялся разработкой фикса, второй заявил, что понятия не имеет, что делать с представленной информацией). Третья компания так и не подтвердила наличия уязвимостей в своей продукции.

Однако все изменилось, когда Ньеза заявил о своем желании рассказать об уязвимостях на конференции.

«Я послал им электронные письма, в которых просил изучить содержимое презентации и сообщить о каких-либо спорных моментах, чтобы у меня было время внести в неё изменения, — заявил Ньеза. — Однако все пошло совсем не так, как я ожидал».

Хотя эксперт и не собирался уточнять, какие именно компании произвели уязвимые сетевые камеры наблюдения, в рамках своего выступления он должен был рассказать о ключевых компонентах, которые могут стать путеводной нитью для whitehat-исследователя (сетевые интерфейсы, сетевые службы, обработка сигналов и т.п.). Также Ньеза собирался продемонстрировать ряд атак, которые можно провести на три популярные камеры, воспользовавшись одной или несколькими уязвимостями. Со слов исследователя, PoC-коды были предоставлены вендорам вместе с отчетом об уязвимостях.

Эксперт не уточнил, что именно не понравилось представителям компаний в его презентации.

«Я не стану это обсуждать, ибо боюсь лишь усугубить ситуацию, — заявил Ньеза. — Я могу лишь сказать, что как только я сообщил вендорам о своем желании выступить на HITB GSEC Singapore, вся моя переписка с IT-отделами стала вестись под чутким надзором их юристов. К сожалению, местные законы и пользовательские соглашения позволяют выдать легитимного ИБ-исследователя за преступника, и им это хорошо известно».

Последнее время ИБ-исследователи все чаще сталкиваются с подобными трудностями. Пару недель назад ИБ-компания FireEye пригрозила судебным разбирательством немецкой консалтинговой компании ERNW, эксперты которой обнаружили ряд уязвимостей в продукции FireEye и хотели опубликовать их по истечении положенного 90-дневного срока. В конце концов бреши были устранены.

Напомним, сославшись на противоречивую реализацию Вассенаарского соглашения, HP приняла решение не спонсировать хакерское состязание Mobile Pwn2Own, которое должно состояться в следующем месяце в Японии. Тем же руководствовался и один из студентов университета в Соединенном королевстве, решив внести изменения в свою диссертацию, посвященную обходу защитных технологий Microsoft EMET.

Ньеза заявил, что ему не впервой переживать такой конфликт: несколько месяцев назад ему пришлось прекратить исследование уязвимостей утилиты, детектирующей APT-активность, так как производитель стал грозить судом. В отличие от него, вендоры камер слежения, по словам исследователя, ничего не сказали о возможных последствиях оглашения результатов нового исследования.

«Подчеркиваю, я просто не хочу усугублять ситуацию. замечу лишь, что в наше время компании, имеющие претензии к ИБ-исследователям, необязательно грозят конкретными санкциями, но ясно дают понять, что в случае публикации статьи, PoC-атаки, эксплойта и т.п. ваша карьера пострадает, — заявил Ньеза. — Решение [отменить выступление] мне далось нелегко, поскольку я считаю, что ИБ-коммьюнити должно знать о проблемах с безопасностью сетевых камер видеонаблюдения. Но с другой стороны, у моих коллег есть семьи и желание идти вверх по карьерной лестнице, они могли бы пострадать из-за моего выступления в Сингапуре, поэтому я решил его отменить».

Что до самих уязвимостей, исследователь заявил, что не знает, закрыты они или нет, и есть ли какая-то перспектива. Тем не менее, он намерен со временем опубликовать результаты своих исследований.

«Реакция со стороны ИБ-коммьюнити была просто невероятной. Я получил десятки писем с предложениями помощи, — заявил Ньеза. — Я очень рад быть частью этого коммьюнити, члены которого денно и нощно трудятся ради того, чтобы наши ПК, смартфоны и IoT-устройства были безопасны».

08.10.2015 06:47