Хорошего понемножку

Вести о новейшем эксплойте нулевого дня для Internet Explorer разлетелись быстро. Как сообщил Райан Нарейн (Ryan Naraine), к сожалению, эксперт компании McAfee, сам того не желая, раскрыл слишком подробную информацию об уязвимости, используемой эксплойтом, что привело к нежелательным последствиям. Сделано это было в попытке рекламы качества защиты от данного эксплойта, обеспечиваемой его работодателем.

Результатом этого стало немедленное создание модуля PoC Metasploit, что сделало возможным широкое распространение эксплойта, который ранее применялся только в целевых атаках. Как следствие, эксплойт стал угрожать всем пользователям версий 6 и 7 браузера Internet Explorer.

Какая именно информация была раскрыта? Для меня это интересный вопрос, поскольку я часто сталкиваюсь с выбором, что следует придавать огласке, а что нет. Выясняется, что эксперт сообщил лишь список имен файлов, связанных с атакой, и название домена, с которым соединялось вредоносное ПО.

Публиковать подобную информацию в блогпосте — вполне разумная идея, не так ли? Ведь специалистам, создающим сигнатуры для систем предотвращения вторжений (IDS), полезно знать используемые вредоносными программами URL-адреса, а другим антивирусным экспертам могут помочь имена файлов, используемых в ходе атаки.

Возникает закономерный вопрос: какую именно информацию можно безбоязненно сообщать? Никакую? Мне, как техническому специалисту, неприятно, когда автор скрывает все существенные данные, относящиеся к угрозе; эксперт McAfee, очевидно, хотел заинтересовать подобных мне людей.

Хочу предложить следующий простой принцип для специалистов, пишущих об актуальных угрозах: если домены, используемые для размещения экслойтов, на момент написания являются действующими, то не следует публиковать связанные с этими эксплойтами URL-адреса или имена файлов, поскольку Google зачастую позволяет легко найти соответствующие страницы.

Значит ли это, что экспертам не следует обмениваться ключевой информацией об актуальных угрозах? Конечно, нет — мы постоянно это делаем. Но при этом данные не становятся достоянием широкой общественности — существует масса безопасных способов сообщить коллегам подробную информацию об актуальных угрозах.