Архив

Сообщения о лазейках в программном обеспечении: хакеру в помощь?

Производителей программного обеспечения беспокоит, что некоторые «bug-охотники», раскрывающие недостатки и «дыры» в ПО и стремящиеся тут же выпустить публичное предупреждение о найденной угрозе, зачастую могут помогать хакерам больше, чем пользователям.

Это противоречивое утверждение разделяет лагерь специалистов по компьютерной безопасности на две части. Одни из них утверждают, что быстрое и полное раскрытие уязвимости программы заставляет пользователей принять меры предосторожности, а производителей ПО — быстро найти решение проблемы и выпустить соответствующую «заплату».

Другие специалисты говорят, что сообщение относительно уязвимости программного обеспечения не оставляет производителям шанса своевременно устранить проблему и является скорее приглашением для хакеров организовать атаку, т.к. на создание «заплаты» требуется определенное время.

«Должна быть своебразная ‘клятва Гиппократа’ для профессионалов компьютерной защиты», — говорит Джоел Гарза (Joel de la Garza), специалист по интернет-безопасности, — «Правило первое — не навреди. Было бы неплохо, если бы все придерживались этого правила, однако, это маловероятно».

«Bug-охотники» обычно работают внештатно, как «свободные художники» и, распространяя информацию в глобальном масштабе о «дырах» в программах, руководствуются при этом своими собственными правилами. Некоторые из них обнародуют информацию немедленно, другие дают изготовителю сутки на решение проблемы и затем также делают информацию достоянием общественности, а третьи ждут неделю и больше, пока решение не будет найдено. Большинство же из них стремится побыстрее объявить о своей «находке», чтобы прославиться и получить лавры первооткрывателя.

Рон Моритц (Ron Moritz), главный технический специалист корпорации Symantec, производящей антивирусное ПО, является сторонником полного публичного раскрытия информации о найденной уязвимости программного обеспечения: «Иногда угроза — это нечто, что не может быть устранено быстро или немедленно. При объявлении о ‘bug’е сразу, как только он найден, о нем будут знать и ‘хорошие парни’ и ‘плохие парни’, а не только ‘плохие’ — в обратном случае».

В компании Microsoft придерживаются иного мнения. Скот Кулп (Scott Culp), гуру защиты Microsoft говорит, что размещаемая информация, может достичь части людей, которые смогут принять профилактические меры, но она обязательно дойдет до людей, кто сможет использовать ее для атак на других пользователей.

Не так давно одна компания по компьютерной безопасности нашла основную «дыру» в Microsoft Outlook, позволяющую злоумышленнику, «залезть» на компьютер пользователя, просто посылая «жертве» сообщения по e-mail.

Компания Microsoft была уведомлена о «находке» и начала работы по устранению злосчастной ошибки. Но в это время еще один охотник за «bag»-ами обнаружил эту же уязвимость и сделал ее достоянием общественности, без уведомления компании. До окончательного решения проблемы в то время было еще далеко.

Скот Кулп хочет, чтобы «охотники за ошибками» вначале помогли Microsoft найти решение в устранении лазейки в системе безопасности, а потом уже объявляли о своей «находке».

Естественно, у «охотников» есть свое мнение на этот счет. «Я не думаю, что известность о «дыре» в программе вредит общественности», — говорит Гунинский (Guninski), который работает для компании Netscape, — «обнаруживая ошибки в программах, я делаю их более безопасными».

Конечно немногие компании хотели бы, чтобы кто-то посторонний информировал общественность о недостатках в их продуктах. Также и «охотники за ошибками» имеют свои собственные корыстные интересы, такие как промоушен себя лично и своего рода занятий.

Сообщения о лазейках в программном обеспечении: хакеру в помощь?

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике