Баг-аукцион легализирует хакеров
Перед нами дилемма. Представьте себе, что вы компьютерный хакер и вы обнаружили в какой-то программе дырку, через которую злоумышленники могли бы воровать деньги или даже персональные данные. Это могло бы принести вам почёт и уважение, но на хлеб их, конечно, не намажешь. Итак, каким образом вы бы могли продать своё открытие по наиболее выгодной цене? Идея попросить денег у компании, которая выпускает этот уязвимый софт, на первый взгляд, может показаться шантажом. Легко предположить, что если компания откажется, то эта информация может попасть в сомнительные руки. И в то же время, именно такая возможность придаёт ценность этим знаниям. Итак, какой же должна быть подходящая цена и кто должен договариваться?
Как известно, экономика, подобно природе, всегда стремится заполнить вакуум и хакерская дилемма, в свою очередь, вызвала появление целой индустрии «компаний обеспечивающих безопасность». Эти компании стали в промышленных масштабах закупать информацию о программных дырках, которую им поставляют хакеры (политкорректно именуемые, как «исследователи безопасности»). Затем они либо продают эту информацию компаниям-производителям софта, иногда вместе с соответствующей «заплаткой», или же используют её для более глубокого «исследования», например для поисков более опасных – а следовательно и более прибыльных – дырок. Подобные фирмы стремятся действовать, как посредники, которым доверяют, с одной стороны, хакеры, а с другой, софтверные компании. Они стремятся убедить всех в том, что хорошо знают рынок и назначают самую подходящую цену. Однако, часто, им не удаётся заслужить доверия ни у одной из сторон. Хакеры жалуются, что если они обращаются к подобным компаниям, чтобы узнать, сколько им готовы заплатить за информацию, то цена на неё резко падает, поскольку становится известна слишком многим сотрудникам фирмы. Между тем, софтверные же компании считают, что подобные посредники обычно предлагают не самую важную информацию. Они подозревают, что информация о самых опасных дырках отправляется прямо на чёрный рынок.
Пару недель назад, появился специальный сервис, который должен сделать торговлю багами более прозрачной и в то же время, предоставить хакерам более выгодные условия. Швейцарская компания WabiSabiLabi, которая организовала этот сервис, отличается от обычных компаний по безопасности тем, что она ни как не участвует в продаже и покупке информации. Вместо этого она предлагает площадку для заключения подобных сделок.
Превратить славу в деньги
Охотник за ошибками в программе может использовать этот сервис одним из трёх способов. Он может выставить своё открытие на аукцион, победитель которого получит исключительные права на эту информацию. Он может продавать своё открытие неограниченному числу покупателей, но по жёстко установленной цене. Или же он может попробовать продать эту информацию по определённой цене и одной единственной компании, не прибегая к помощи аукциона.
Кроме торговой площадки, WabiSabiLabi привнёс на рынок ещё две важные фишки. Первая — это попытка удостовериться в том, что правом продавать и покупать информацию обладают только легитимные торговцы. Вторая – в том, что администрация сервиса предварительно проверяет каждый товар, чтобы убедиться, что он соответствует своему описанию.
Руководитель WabiSabiLabi, Герман Зампариоло, говорит, что с момента открытия сервиса, зарегистрировалось несколько сотен хакеров. Тем не менее, на продажу было выставлено всего 4 дырки, и цены, которые предлагали за них покупатели, не были слишком высокими, возможно, потому что покупатели не торопятся, желая сперва понаблюдать, как сервис покажет себя в действии. Впрочем, ещё 200 багов сейчас находятся на рассмотрении и ожидают своего допуска на торги.
Если подобные баг-аукционы докажут свою работоспособность, им придётся ещё преодолеть ряд других препятствий. Одно из них заключается в том, что если продавец слишком ясно опишет суть своего предложения, то покупатель сможет самостоятельно догадаться о том, где находится эта дырка, и, конечно, не станет платить. Другое – в том, что со временем возрастает вероятность того, что дырка будет обнаружена кем-нибудь ещё. Именно поэтому хакер заинтересован продать свою находку, как можно быстрее, а следовательно, администрация должна рассматривать заявку с максимальной скоростью. Но самым, по видимому, серьёзным препятствием для организации баг-аукциона является его легальный статус.
Юрист из Стенфортского университета, Дженифер Грэник, которая на протяжении нескольких лет изучает эту тему, считает, что если кто-нибудь, раздобудет на аукционе типа, как у WabiSabiLabi, информацию о дырке в программе и, воспользовавшись этим, совершит преступление, то у аукциона возникнут большие проблемы. Согласно уголовному законодательству США, для признания вины, необходимо доказать, что владельцы действовали умышленно. В то же время, для удовлетворения гражданского иска, достаточно лишь продемонстрировать, что владелец проявил небрежность.
В фильмах про дикий запад, хорошие ковбои носят белые шляпы, а чёрные шляпы носят злодеи. У хакеров действует подобная символика, чтобы обозначить тех, кто может по праву считаться представителем цеха, и тех, кто лишь порочит их славное искусство. Открыв первый баг-аукцион, компания WabiSabiLabi, вероятно, может породить третий тип ковбоя – в серой шляпе. И поле для хакерской деятельности, упразднив свои этические границы, может слегка расшириться.
Перевод с английского:
Роман Равве
Crossposted from worldwebstudio
Перед нами дилемма. Представьте себе, что вы компьютерный хакер и вы обнаружили в какой-то программе дырку, через которую злоумышленники могли бы воровать деньги или даже персональные данные. Это могло бы принести вам почёт и уважение, но на хлеб их, конечно, не намажешь. Итак, каким образом вы бы могли продать своё открытие по наиболее выгодной цене? Идея попросить денег у компании, которая выпускает этот уязвимый софт, на первый взгляд, может показаться шантажом. Легко предположить, что если компания откажется, то эта информация может попасть в сомнительные руки. И в то же время, именно такая возможность придаёт ценность этим знаниям. Итак, какой же должна быть подходящая цена и кто должен договариваться?
Как известно, экономика, подобно природе, всегда стремится заполнить вакуум и хакерская дилемма, в свою очередь, вызвала появление целой индустрии «компаний обеспечивающих безопасность». Эти компании стали в промышленных масштабах закупать информацию о программных дырках, которую им поставляют хакеры (политкорректно именуемые, как «исследователи безопасности»). Затем они либо продают эту информацию компаниям-производителям софта, иногда вместе с соответствующей «заплаткой», или же используют её для более глубокого «исследования», например для поисков более опасных – а следовательно и более прибыльных – дырок. Подобные фирмы стремятся действовать, как посредники, которым доверяют, с одной стороны, хакеры, а с другой, софтверные компании. Они стремятся убедить всех в том, что хорошо знают рынок и назначают самую подходящую цену. Однако, часто, им не удаётся заслужить доверия ни у одной из сторон. Хакеры жалуются, что если они обращаются к подобным компаниям, чтобы узнать, сколько им готовы заплатить за информацию, то цена на неё резко падает, поскольку становится известна слишком многим сотрудникам фирмы. Между тем, софтверные же компании считают, что подобные посредники обычно предлагают не самую важную информацию. Они подозревают, что информация о самых опасных дырках отправляется прямо на чёрный рынок.
Пару недель назад, появился специальный сервис, который должен сделать торговлю багами более прозрачной и в то же время, предоставить хакерам более выгодные условия. Швейцарская компания WabiSabiLabi, которая организовала этот сервис, отличается от обычных компаний по безопасности тем, что она ни как не участвует в продаже и покупке информации. Вместо этого она предлагает площадку для заключения подобных сделок.
Превратить славу в деньги
Охотник за ошибками в программе может использовать этот сервис одним из трёх способов. Он может выставить своё открытие на аукцион, победитель которого получит исключительные права на эту информацию. Он может продавать своё открытие неограниченному числу покупателей, но по жёстко установленной цене. Или же он может попробовать продать эту информацию по определённой цене и одной единственной компании, не прибегая к помощи аукциона.
Кроме торговой площадки, WabiSabiLabi привнёс на рынок ещё две важные фишки. Первая — это попытка удостовериться в том, что правом продавать и покупать информацию обладают только легитимные торговцы. Вторая – в том, что администрация сервиса предварительно проверяет каждый товар, чтобы убедиться, что он соответствует своему описанию.
Руководитель WabiSabiLabi, Герман Зампариоло, говорит, что с момента открытия сервиса, зарегистрировалось несколько сотен хакеров. Тем не менее, на продажу было выставлено всего 4 дырки, и цены, которые предлагали за них покупатели, не были слишком высокими, возможно, потому что покупатели не торопятся, желая сперва понаблюдать, как сервис покажет себя в действии. Впрочем, ещё 200 багов сейчас находятся на рассмотрении и ожидают своего допуска на торги.
Если подобные баг-аукционы докажут свою работоспособность, им придётся ещё преодолеть ряд других препятствий. Одно из них заключается в том, что если продавец слишком ясно опишет суть своего предложения, то покупатель сможет самостоятельно догадаться о том, где находится эта дырка, и, конечно, не станет платить. Другое – в том, что со временем возрастает вероятность того, что дырка будет обнаружена кем-нибудь ещё. Именно поэтому хакер заинтересован продать свою находку, как можно быстрее, а следовательно, администрация должна рассматривать заявку с максимальной скоростью. Но самым, по видимому, серьёзным препятствием для организации баг-аукциона является его легальный статус.
Юрист из Стенфортского университета, Дженифер Грэник, которая на протяжении нескольких лет изучает эту тему, считает, что если кто-нибудь, раздобудет на аукционе типа, как у WabiSabiLabi, информацию о дырке в программе и, воспользовавшись этим, совершит преступление, то у аукциона возникнут большие проблемы. Согласно уголовному законодательству США, для признания вины, необходимо доказать, что владельцы действовали умышленно. В то же время, для удовлетворения гражданского иска, достаточно лишь продемонстрировать, что владелец проявил небрежность.
В фильмах про дикий запад, хорошие ковбои носят белые шляпы, а чёрные шляпы носят злодеи. У хакеров действует подобная символика, чтобы обозначить тех, кто может по праву считаться представителем цеха, и тех, кто лишь порочит их славное искусство. Открыв первый баг-аукцион, компания WabiSabiLabi, вероятно, может породить третий тип ковбоя – в серой шляпе. И поле для хакерской деятельности, упразднив свои этические границы, может слегка расшириться.
Перевод с английского:
Роман Равве
Crossposted from worldwebstudio
