Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Уязвимости не пахнут

Прочитали: 4000 Комментариев: 120 Рейтинг: 290

Поиск уязвимостей — это бизнес. Искатели «дыр» получают из этого прибыль, и альтруизмом тут не пахнет, как не пахнут и сами деньги.

Чем больше софта и умных вещей подарит нам прогресс, тем больше будет уязвимостей и уязвимых, а значит — больше денег будет крутиться на этом рынке. Ничего личного — только бизнес!

Исследователи безопасности — как легальные компании, так и злоумышленники — профессионально занимаются ВЗЛОМОМ, такой уж у них заработок. Правда, делают они это с разными целями. Или, по крайней мере, до недавнего времени так казалось.

Некоторые исследователи уязвимостей сотрудничают с компаниями, нанимающими их легально, и получают вознаграждение по договору. То есть поиск уязвимостей начинается после того, как заказчик и исполнитель официально оформили свои деловые отношения.

Некоторые ищут «дыры» по собственной инициативе и затем сообщают о них производителям. Часто те отказываются платить за эту информацию или предлагают слишком малые деньги, из-за чего исследователю выгоднее продать данные на черном рынке хакеров. А если уязвимости находили неоднократно, а производитель каждый раз отказывался заплатить, то ведь и отомстить можно?

Новые времена диктуют новые нетрадиционные подходы к заработку в сфере профессиональных взломов.

Из цитаты ниже видно, что не только киберпреступники могут пытаться получать доход от продажи информации об уязвимостях на черном рынке или третьей заинтересованной стороне (не разработчику или производителю).

Группа хакеров, работавших на стартап MedSec, нашла способ взломать кардиостимуляторы и дефибрилляторы, которые выпускает крупный американский производитель медицинского оборудования St. Jude Medical. Однако вместо того чтобы сообщить компании об уязвимостях в ее продуктах, хакеры обратились к Карсону Блоку (Carson Block), главе инвестиционной фирмы Muddy Waters Capital, предложив обнародовать подтвержденную информацию о том, что аппараты St. Jude Medical опасны для жизни пациентов. По плану хакеров, одновременно с этим Блок должен занять на бирже по отношению к компании «короткую позицию», то есть взять на себя обязательства по срочным сделкам при игре на понижение. Когда распространение компрометирующей информации ударит по репутации St. Jude Medical, и ее акции обвалятся, Блок сможет на этом заработать. Гонорар хакеров будет тем больше, чем сильнее упадут в цене акции.

Дополнительным эффектом мог стать срыв сделки по поглощению St. Jude Medical химико-фармацевтической корпорацией Abbott Laboratories. В интервью Bloomberg Карсон Блок заявил, что вдобавок к «короткой позиции» (игре на понижение) по отношению к St. Jude Medical он занял «длинную позицию» (играет на повышение) по отношению к Abbott Laboratories. Это должно застраховать его от неудачи при любом исходе дела.

Но генеральный директор MedSec Джастин Боун (Justine Bone) заявила, что не будет давать St. Jude Medical времени на исправление проблем, так как та в прошлом игнорировала подобные предупреждения. Кроме того, существует вероятность, что компания будет преследовать хакеров в судебном порядке, чтобы заставить их молчать. По словам Боун, MedSec обратилась к Muddy Waters, поскольку у той уже есть опыт в привлечении крупных корпораций к ответственности.

MedSec сознательно нарушает базовые принципы этичного исследования безопасности, и делает это в сфере, где ставкой является человеческая жизнь.

http://safe.cnews.ru/news/top/2016-08-29_hakery_rassekretili_dyru_v_kardiostimulyatorah

Мы видим в этой истории следующие этические проблемы:

  1. Должен ли хакер молчать о найденной критической уязвимости? А если у него договор на исследование с производителем устройства? А если производитель отказывается устранять уязвимость?
  2. Только ли сам производитель может оценить возможность и необходимость устранения уязвимостей (в том числе в уже выпущенных устройствах)? Но в большинстве случаев, связанных с аппаратным обеспечением, даже если производитель закроет уязвимость в выпущенных устройствах, никто из пользователей, скорее всего, устанавливать обновления не будет. Представьте ситуацию, когда вы используете кардиостимулятор длительное время, и тут вам предлагают обновить прошивку. Вы уверены, что после этого у вас не возникнет проблем? А для многих устройств обновления вообще не предусмотрены!
#уязвимость #хакер

Dr.Web рекомендует

Увы, уязвимости есть везде. Есть они и там, где установка средств защиты (да, антивируса!) невозможна. Как правило, бОльшая часть подобного оборудования работает без связи с разработчиком: те не могут в режиме реального времени отслеживать состояние безопасности проданных устройств и корректировать системы безопасности — выпускать обновления, закрывающие бреши. Риск использования такого оборудования лежит полностью на пользователях. А значит, молчание об уязвимостях выгодно и производителям, и потребителям – пусть даже в ущерб безопасности потребителей. Иными словами, это выгодно всем, кроме хакеров.

MedSec была основана в 2015 г. Робертом Брайаном (Robert Bryan), бывшим портфельным менеджером инвестиционной консультации Metaval Capital, который также сотрудничал в этой сфере с компаниями Cyrus Capital и Goldman Sachs. MedSec базируется в Майами и предлагает услуги по тестированию и обеспечению безопасности медицинского оборудования. Искать баги в этой технике никогда не было прибыльным делом, поскольку результаты нельзя даже продать разработчикам антивирусов.

http://safe.cnews.ru/news/top/2016-08-29_hakery_rassekretili_dyru_v_kardiostimulyatorah

Ну а антивирусы, естественно, виноваты во всем. А кто еще?

  • Покупая устройство, убедитесь, что для него возможна функция обновления.
  • Изучите процедуру обновления и убедитесь, что она вам понятна, — изучать ее в спешке будет поздно.
  • Установите уже вышедшие обновления до начала использования устройства.
  • Узнайте телефон и адрес технической поддержки производителя. Если возникнет критическая ситуация, то, возможно, каждая секунда будет на счету.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: