2018/01/25 22:19:44

Багхантеры

.

Содержание

2018

Раскрытие исходных кодов ПО SAP, Symantec и McAfee российским властям

25 января 2018 года агентство Reuters сообщило, что SAP, Symantec и McAfee соглашались раскрыть российскому Министерству обороны исходные коды некоторых своих программных продуктов для поиска уязвимостей, которые могли бы использовать хакеры для взлома ИТ-систем.

Поиск слабых мест в программном коде продуктов технологических компаний — обязательное условие закупки ПО государственными и военными подрядчиками из России, отмечет агентство. Оно изучило сотни документов, посвященных закупкам американскими государственными органами и законодательному регулированию в России.

SAP, Symantec и McAfee раскрыли России исходные коды ПО для поиска уязвимостей

По мнению экспертов в области кибербезопасности и американских законодателей, такая практика ставит под угрозу защиту компьютерных сетей не менее 10 ведомств США, поскольку программное обеспечение, которое ИТ-компании показывают российским властям, используется для защиты от хакеров критически важных систем Пентагона, NASA, Министерства иностранных дел, ФБР и разведки.

Теоретически найденные в софте уязвимости Москва может использовать в своих интересах, отмечает издание. Вместе с тем Reuters пока не удалось найти ни одного примера, когда было бы установлено, что подобная практика привела к кибератакам.

Представители компаний SAP, Symantec, McAfee и Micro Focus говорят, что изучение продуктов проходит под контролем разработчиков на защищенном оборудовании, где нет возможности изменить или удалить части кода, поэтому о нарушении безопасности речь идти не может.

В SAP пояснили, что просмотр исходных кодов осуществляется в абсолютно безопасном и контролируемом компанией помещении, где «строго запрещены» любые записывающие устройства и даже карандаши.

Однако на фоне растущего беспокойства со стороны американских властей Symantec и McAfee перестали разрешать такие проверки своего ПО, а Micro Focus значительно сократила их число в конце 2017 года.

«
Даже позволяя людям просто посмотреть исходный код в течение минуты, возникает очень большая опасность, — говорит исполнительный вице-президент по технологиям защиты сетей Trend Micro Стив Квейн (Steve Quane).
»

По его словам, из-за этих рисков, которым подвергается американское правительство, Trend Micro отказала России в доступе к исходникам системы TippingPoint.

Квейн отметил, что ведущих ИБ-эксперты могут быстро обнаружить уязвимости в ПО, просто изучив код. Такие специалисты есть и в Trend Micro, добавил он.

По мнению конгрессмена от Республиканской партии Ламара Смита (Lamar Smith), явно нужны законы, которые бы обеспечили более высокий уровень кибербезопасности федеральных ведомств и связанных с ними организаций.

Представитель Symantec заверила Reuters, что выпущенная в конце 2016 года версия межсетевого экрана Symantec Endpoint Protection никогда не проходила проверку исходных кодов, а предыдущие версии получили множество обновлений с момента детального изучения продукта российскими властями. Symantec продавала прежнюю версию Endpoint Protection до 2017 года и намерена выпускать обновления для этого ПО до 2019 года.

В McAfee подтвердили полученные Reuters данные о том, что в 2015 году компания предоставила доступ к коду системы управления информацией о безопасности и событиями о безопасности (Security Information and Event Management) НПО «Эшелон», которое проводила проверку от имени ФСТЭК. Несмотря на это Министерство финансов США и Служба безопасности министерства обороны продолжают пользоваться этим продуктом для защиты своих сетей, сообщает Reuters со ссылкой на контракты, которые есть в распоряжении агентства.

В McAfee отказались давать дополнительные комментарии по запросу Reuters. Ранее в компании говорили, что проверка исходных кодов по требованию России проводились в помещениях на территории США.[1]

Одним из продуктов, который исследовал «Эшелон» на предмет уязвимостей, было решение ArcSight ESM, которое с момента продажи софтверного бизнеса HPE развивает британская компания Micro Focus. Это программное обеспечение использует Пентагон, а также не менее семи американских ведомств, включая Аппарат директора национальной разведки и разведывательное подразделение Госдепартамента.

В HPE заявили, что ни один из текущих продуктов компании не подвергался анализу исходного кода российскими властями. Правда, после сделки с Micro Focus американская компания избавилась от большего числа софтверных активов.

Президент группы компаний НПО «Эшелон» Алексей Марков рассказал Reuters, что американские компании, чьи продукты исследовались на уязвимости, изначально выражали озабоченность процессом сертификации.

«
Чем меньше человек, принимающий решение, понимает в программировании, тем больше у них паранойя. Однако в процессе уточнения деталей при выполнении сертификации опасности и риски размываются, — сказал Марков.
»

По его словам, «Эшелон» всегда уведомляет ИТ-компании перед передачей данных о любых обнаруженных уязвимостей российским властям, давая возможность производителям устранить недостатки. Изучение исходного кода продуктов «существенного улучшает их безопасность», отметил он.

Бывший заместитель директора Агентства национальной безопасности США Крис Инглис (Chris Inglis) возражает: «Когда вы сидите за столом с карточными шулерами, вы не можете никому доверять. Я бы никому не показывал код».

Россия в тройке стран по числу багхантеров

Багхантеры (от англ. bug - ошибка; hunter - охотник) зарабатывают в разы больше программистов, свидетельствуют данные опроса HackerOne — платформы, организующей проекты Bug Bounty, в рамках которых за найденные ИБ-уязвимости хакерам выплачиваются денежные поощрения. При этом Россия входит в тройку стран по количеству таких специалистов.

Согласно результатам исследования, опубликованным в январе 2018 года, размер премий, которые в среднем получают около 1700 хакеров из разных стран, зарегистрированных на HackerOne, в 2,7 раза больше среднего заработка инженеров-программистов, сообщает Bleeping Computer.

Россия вошла в тройку стран по числу хакеров, ищущих уязвимости за деньги

Опрос показал, что наибольшую выгоду от участия в Bug Bounty-программах извлекают ловцы уязвимостей из развивающихся стран. Например, в Индии заработок лучших багхантеров может быть в 16 раз выше медианной зарплаты штатных программистов компаний.

Также поиск ИБ-уязвимстей за деньги способен обеспечить безбедное существование в Аргентине, Египте, Гонконге, Филиппинах и Латвии. В этих странах борцы с багами в среднем получают от 8,1 до 5,2 раза больше, чем обычные разработчики софта.

Впрочем, «охота на уязвимости» — дело прибыльное и для выходцев из развитых стран, хотя разница с зарплатами программистов здесь не столь впечатляющая. Например в США и Канаде опытные багхантеры смогут получить в 2,4 и 2,5 раза больше, а в Германии и Израиле превосходство на средним заработком программистов составляет 1,8 и 1,6 раза.

В отчете HackerOne сообщается и о некоторых других интересных фактах. В частности, исследование показало, что Россия входит в тройку лидеров по числу хакеров, участвующих в проектах Bug Bounty, уступая только Индии и США. На долю первых двух стран приходится 23% и 20% участников HackerOne, а вклад РФ составляет 6%. Также в топ-5 оказались Пакистан и Великобритания с показателем в 4% от общего числа багхантеров у каждой.[2]

Примечания