Обнаружение уязвимостей — тяжелая работа.
И очень прибыльная. Для плохих парней.
Я очень уважаю Чарли и считаю, что он прав. Он просто хочет делать то, что очень хорошо умеет. Те услуги, которые он предоставляет, являются очень ценными для поставщиков программного обеспечения и для всех нас. Тем не менее, есть один вопрос: будет или не будет Чарли продавать найденные ошибки «плохим парням»? Он до сих пор не сделал четкого и окончательного заявления по этому поводу. Я подозреваю, что не будет, хоть сам и не уверен в этом.
Я знаю Чарли и многих других, знающих свое дело, хакеров. Тех, кто не желает зла разработчикам. Я встретил многих из них за прошлые 20 лет и знаю, что обнаружение уязвимости — не самое прибыльное занятие и, тем более, не самый легкий способ заработать на жизнь. Многие талантливые хакеры, которые предоставляли найденные баги разработчикам, были оскорблены тем, что девелопер не хотел платить им за их тяжелую работу. Я видел, что эти первоначально полные благих намерений хакеры начинали мстить разработчикам. Видел, что эти хакеры продавали ошибки конкурентам.
Продажа эксплоитов — очень хорошая возможность получения прибыли, особенно если вы «плохой парень». Хакер, который не заботится о том, кто получит и будет использовать найденный эксплоит, может продать уязвимость известного ПО за достаточно приличную сумму — 5 000$, а может и больше. Цены на уязвимости на черном рынке трудно отыскать, но я видел предложения порядка 100 000$ за переполнение буфера в Windows Server 2003. Полагая, что многие криминальные группы делают десятки миллионов долларов или больше на эксплоитах, цена за эксплоит в несколько десятков (сотен) тысяч долларов выглядит вполне смешной.
Даже у хороших парней, много разрешенных законом партий платят за ошибки и эксплоиты. Во-первых, многие вендоры (включая моего работодателя, Microsoft) платят миллионы как сотрудникам, так и внешним серчерам багов, хотя они почти всегда (если не всегда) подписали контакт прежде, чем нашли ошибки в ПО. CanSecWest и другие конкурсы платят за новые найденные уязвимости. Ряд других организаций, таких как Zero Day Initiative, платят за поиск новых уязвимостей. Они делают деньги, продавая продукты защиты своим клиентам. Да и вообще, все плохо держит в секрете, ведь у нашего правительства есть группы людей, занимающихся поиском уязвимостей для разных целей. Были даже попытки открытия аукционов.
Грустный факт — прибыль за уязвимость, найденную «белым» хакером, в несколько раз меньше, чем за ту же, продаваемую на черной рынке. Все дело в том, что «белый» хакер заботится о безопасности продукта и защите людей, в то время как «плохой парень» — о прибыли, мести,… Один мой друг, который работает в большой софтверной компании, проанализировал расходы компании на выплату премий за найденные ошибки. Он выяснил, что сотрудник за найденный баг получает меньше чем 25$. Согласитесь, прожить на такую цифру законному хакеру будет ооочень трудно.
Есть множество способов заработать деньги в этом мире. Мои компьютерные книги продавались бы лучше, если бы содержали порнографию. Я бы мог пополнить доходы путем продажи наркотиков, но я должен быть в состоянии смотреть на себя в зеркало и гордиться тем, что я делаю. Мне платят, чтобы взломать, но я никогда не делал этого без разрешения или с неприязнью к кому-то.
Возможно, многие компании не платят 5 000$ или больше за найденную ошибку, но они построили успешный — иногда очень успешный бизнес. Они стали названиями промышленности и создали отдельные звезды. Их владельцы вырастили компанию, создали долгосрочные карьеры для их служащих.
На каждого печально известного хакера, я могу назвать двоих законных хацкеров и их компании — Stake, ZDI, iDefense, David Litchfield, Foundstone, Dave Aitel, Immunity и многие другие.
Чарли и другие «No More Free Bugs» защитники заслуживают того, чтобы зарабатывать на жизнь тем, что они делают лучше всего. Но я надеюсь, они смотрят на тех, кому продают найденные баги. Мы нуждаемся в них, чтобы убедить нас в том, что они на нашей стороне. Всегда.
И очень прибыльная. Для плохих парней.
 |
Чарли Миллер, известный Mac-хацкер, объявил, что он не станет релизить эксплоиты бесплатно. Кроме того, Чарли и несколько его друзей открыли движение «No More Free Bugs». |
Я очень уважаю Чарли и считаю, что он прав. Он просто хочет делать то, что очень хорошо умеет. Те услуги, которые он предоставляет, являются очень ценными для поставщиков программного обеспечения и для всех нас. Тем не менее, есть один вопрос: будет или не будет Чарли продавать найденные ошибки «плохим парням»? Он до сих пор не сделал четкого и окончательного заявления по этому поводу. Я подозреваю, что не будет, хоть сам и не уверен в этом.
Я знаю Чарли и многих других, знающих свое дело, хакеров. Тех, кто не желает зла разработчикам. Я встретил многих из них за прошлые 20 лет и знаю, что обнаружение уязвимости — не самое прибыльное занятие и, тем более, не самый легкий способ заработать на жизнь. Многие талантливые хакеры, которые предоставляли найденные баги разработчикам, были оскорблены тем, что девелопер не хотел платить им за их тяжелую работу. Я видел, что эти первоначально полные благих намерений хакеры начинали мстить разработчикам. Видел, что эти хакеры продавали ошибки конкурентам.
Деньги, деньги, деньги...
Продажа эксплоитов — очень хорошая возможность получения прибыли, особенно если вы «плохой парень». Хакер, который не заботится о том, кто получит и будет использовать найденный эксплоит, может продать уязвимость известного ПО за достаточно приличную сумму — 5 000$, а может и больше. Цены на уязвимости на черном рынке трудно отыскать, но я видел предложения порядка 100 000$ за переполнение буфера в Windows Server 2003. Полагая, что многие криминальные группы делают десятки миллионов долларов или больше на эксплоитах, цена за эксплоит в несколько десятков (сотен) тысяч долларов выглядит вполне смешной.
Даже у хороших парней, много разрешенных законом партий платят за ошибки и эксплоиты. Во-первых, многие вендоры (включая моего работодателя, Microsoft) платят миллионы как сотрудникам, так и внешним серчерам багов, хотя они почти всегда (если не всегда) подписали контакт прежде, чем нашли ошибки в ПО. CanSecWest и другие конкурсы платят за новые найденные уязвимости. Ряд других организаций, таких как Zero Day Initiative, платят за поиск новых уязвимостей. Они делают деньги, продавая продукты защиты своим клиентам. Да и вообще, все плохо держит в секрете, ведь у нашего правительства есть группы людей, занимающихся поиском уязвимостей для разных целей. Были даже попытки открытия аукционов.
Белое и черное
Грустный факт — прибыль за уязвимость, найденную «белым» хакером, в несколько раз меньше, чем за ту же, продаваемую на черной рынке. Все дело в том, что «белый» хакер заботится о безопасности продукта и защите людей, в то время как «плохой парень» — о прибыли, мести,… Один мой друг, который работает в большой софтверной компании, проанализировал расходы компании на выплату премий за найденные ошибки. Он выяснил, что сотрудник за найденный баг получает меньше чем 25$. Согласитесь, прожить на такую цифру законному хакеру будет ооочень трудно.
Есть множество способов заработать деньги в этом мире. Мои компьютерные книги продавались бы лучше, если бы содержали порнографию. Я бы мог пополнить доходы путем продажи наркотиков, но я должен быть в состоянии смотреть на себя в зеркало и гордиться тем, что я делаю. Мне платят, чтобы взломать, но я никогда не делал этого без разрешения или с неприязнью к кому-то.
Возможно, многие компании не платят 5 000$ или больше за найденную ошибку, но они построили успешный — иногда очень успешный бизнес. Они стали названиями промышленности и создали отдельные звезды. Их владельцы вырастили компанию, создали долгосрочные карьеры для их служащих.
На каждого печально известного хакера, я могу назвать двоих законных хацкеров и их компании — Stake, ZDI, iDefense, David Litchfield, Foundstone, Dave Aitel, Immunity и многие другие.
Чарли и другие «No More Free Bugs» защитники заслуживают того, чтобы зарабатывать на жизнь тем, что они делают лучше всего. Но я надеюсь, они смотрят на тех, кому продают найденные баги. Мы нуждаемся в них, чтобы убедить нас в том, что они на нашей стороне. Всегда.
