Уязвимости не пахнут
13 сентября 2016
Поиск уязвимостей — это бизнес. Искатели «дыр» получают из этого прибыль, и альтруизмом тут не пахнет, как не пахнут и сами деньги.
Чем больше софта и умных вещей подарит нам прогресс, тем больше будет уязвимостей и уязвимых, а значит — больше денег будет крутиться на этом рынке. Ничего личного — только бизнес!
Исследователи безопасности — как легальные компании, так и злоумышленники — профессионально занимаются ВЗЛОМОМ, такой уж у них заработок. Правда, делают они это с разными целями. Или, по крайней мере, до недавнего времени так казалось.
Некоторые исследователи уязвимостей сотрудничают с компаниями, нанимающими их легально, и получают вознаграждение по договору. То есть поиск уязвимостей начинается после того, как заказчик и исполнитель официально оформили свои деловые отношения.
Некоторые ищут «дыры» по собственной инициативе и затем сообщают о них производителям. Часто те отказываются платить за эту информацию или предлагают слишком малые деньги, из-за чего исследователю выгоднее продать данные на черном рынке хакеров. А если уязвимости находили неоднократно, а производитель каждый раз отказывался заплатить, то ведь и отомстить можно?
Новые времена диктуют новые нетрадиционные подходы к заработку в сфере профессиональных взломов.
Из цитаты ниже видно, что не только киберпреступники могут пытаться получать доход от продажи информации об уязвимостях на черном рынке или третьей заинтересованной стороне (не разработчику или производителю).
Группа хакеров, работавших на стартап MedSec, нашла способ взломать кардиостимуляторы и дефибрилляторы, которые выпускает крупный американский производитель медицинского оборудования St. Jude Medical. Однако вместо того чтобы сообщить компании об уязвимостях в ее продуктах, хакеры обратились к Карсону Блоку (Carson Block), главе инвестиционной фирмы Muddy Waters Capital, предложив обнародовать подтвержденную информацию о том, что аппараты St. Jude Medical опасны для жизни пациентов. По плану хакеров, одновременно с этим Блок должен занять на бирже по отношению к компании «короткую позицию», то есть взять на себя обязательства по срочным сделкам при игре на понижение. Когда распространение компрометирующей информации ударит по репутации St. Jude Medical, и ее акции обвалятся, Блок сможет на этом заработать. Гонорар хакеров будет тем больше, чем сильнее упадут в цене акции.
Дополнительным эффектом мог стать срыв сделки по поглощению St. Jude Medical химико-фармацевтической корпорацией Abbott Laboratories. В интервью Bloomberg Карсон Блок заявил, что вдобавок к «короткой позиции» (игре на понижение) по отношению к St. Jude Medical он занял «длинную позицию» (играет на повышение) по отношению к Abbott Laboratories. Это должно застраховать его от неудачи при любом исходе дела.
Но генеральный директор MedSec Джастин Боун (Justine Bone) заявила, что не будет давать St. Jude Medical времени на исправление проблем, так как та в прошлом игнорировала подобные предупреждения. Кроме того, существует вероятность, что компания будет преследовать хакеров в судебном порядке, чтобы заставить их молчать. По словам Боун, MedSec обратилась к Muddy Waters, поскольку у той уже есть опыт в привлечении крупных корпораций к ответственности.
MedSec сознательно нарушает базовые принципы этичного исследования безопасности, и делает это в сфере, где ставкой является человеческая жизнь.
http://safe.cnews.ru/news/top/2016-08-29_hakery_rassekretili_dyru_v_kardiostimulyatorah
Мы видим в этой истории следующие этические проблемы:
- Должен ли хакер молчать о найденной критической уязвимости? А если у него договор на исследование с производителем устройства? А если производитель отказывается устранять уязвимость?
- Только ли сам производитель может оценить возможность и необходимость устранения уязвимостей (в том числе в уже выпущенных устройствах)? Но в большинстве случаев, связанных с аппаратным обеспечением, даже если производитель закроет уязвимость в выпущенных устройствах, никто из пользователей, скорее всего, устанавливать обновления не будет. Представьте ситуацию, когда вы используете кардиостимулятор длительное время, и тут вам предлагают обновить прошивку. Вы уверены, что после этого у вас не возникнет проблем? А для многих устройств обновления вообще не предусмотрены!
Антивирусная правДА! рекомендует
Увы, уязвимости есть везде. Есть они и там, где установка средств защиты (да, антивируса!) невозможна. Как правило, бОльшая часть подобного оборудования работает без связи с разработчиком: те не могут в режиме реального времени отслеживать состояние безопасности проданных устройств и корректировать системы безопасности — выпускать обновления, закрывающие бреши. Риск использования такого оборудования лежит полностью на пользователях. А значит, молчание об уязвимостях выгодно и производителям, и потребителям – пусть даже в ущерб безопасности потребителей. Иными словами, это выгодно всем, кроме хакеров.
MedSec была основана в 2015 г. Робертом Брайаном (Robert Bryan), бывшим портфельным менеджером инвестиционной консультации Metaval Capital, который также сотрудничал в этой сфере с компаниями Cyrus Capital и Goldman Sachs. MedSec базируется в Майами и предлагает услуги по тестированию и обеспечению безопасности медицинского оборудования. Искать баги в этой технике никогда не было прибыльным делом, поскольку результаты нельзя даже продать разработчикам антивирусов.
http://safe.cnews.ru/news/top/2016-08-29_hakery_rassekretili_dyru_v_kardiostimulyatorah
Ну а антивирусы, естественно, виноваты во всем. А кто еще?
- Покупая устройство, убедитесь, что для него возможна функция обновления.
- Изучите процедуру обновления и убедитесь, что она вам понятна, — изучать ее в спешке будет поздно.
- Установите уже вышедшие обновления до начала использования устройства.
- Узнайте телефон и адрес технической поддержки производителя. Если возникнет критическая ситуация, то, возможно, каждая секунда будет на счету.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
21:25:18 2018-12-12
Денисенко Павел Андреевич
22:13:25 2018-08-05
vasvet
23:48:01 2018-04-10
alex-diesel
14:32:15 2018-03-19
eaglebuk
23:05:42 2017-02-11
М...ч
22:09:25 2016-10-19
Ruslan
12:52:19 2016-10-12
Anton_S
15:42:06 2016-09-25
Анатолий
07:42:43 2016-09-15
vla_va
22:55:17 2016-09-13
В...а
22:53:10 2016-09-13
ek
22:46:35 2016-09-13
razgen
22:38:42 2016-09-13
НинаК
22:37:19 2016-09-13
kva-kva
21:49:29 2016-09-13
mk.insta
21:27:15 2016-09-13
Dvakota
21:09:22 2016-09-13
Альфа
19:55:20 2016-09-13
krant
19:47:47 2016-09-13
dyadya_Sasha
19:15:47 2016-09-13
Voin sveta
19:01:41 2016-09-13
Геральт
17:43:14 2016-09-13
bob123456
16:56:02 2016-09-13
- Ты должен идти
-- Нет, ты должен идти.
Посмотрел больной на этих двух "лекарей", взял да умер. А врачи так и продолжали спорить о том кто пойдёт покупать градусник (который купил у них же больной) у кровати с окоченевшим трупом, которому этот градусник (кардиостимулятор) уже и не нужен.
bob123456
16:14:56 2016-09-13
Как мы видим из статьи, St. Jude Medical заранее знала об уязвимостях (о которых ей сообщала MedSec) , но ничего не говорила своим пациентам. Это аморально и данная компания не имеет никакого морального права называться "святой". С другой стороны MedSec решила заработать на жизнях пациентов. Пока те будут зарабатывать бабло на акциях, пациенты могут умереть. То есть пока Jude Medical и MedSec собачатся, кто-то может воспользоваться данной информацией и узнать направление поиска уязвимостей, а потом скажет, что продукция данной фирмы бракованная и от неё умирают пациенты. Кого "Медсек" (как видно из её названия) защищает? Свой кошелёк? Занимается шантажом для того, чтобы купили их ненужные уязвимости?
Гнусная история. Ненавижу тех, у кого в голове исключительно одно бабло и которые уже давно людей за "людей" не считают. Что характерно для Запада с их чёртовой толерантностью.
Mehatronik
16:14:30 2016-09-13
B0RIS
16:13:03 2016-09-13
ada
15:45:21 2016-09-13
GREII
15:37:56 2016-09-13
DrKV
15:33:36 2016-09-13
Неуёмный Обыватель
14:47:25 2016-09-13
Дмитpий
14:09:08 2016-09-13
kama35
13:19:26 2016-09-13
Deniskaponchik
12:55:30 2016-09-13
Влад
11:08:21 2016-09-13
L1t1um
10:05:37 2016-09-13
Rinat_64
09:38:13 2016-09-13
djabax
09:37:10 2016-09-13
Nikodim2011
08:59:25 2016-09-13
mazev
08:53:42 2016-09-13
Vlad X
08:46:40 2016-09-13
Печально.
Sasha50
08:44:56 2016-09-13
FrEd
08:36:00 2016-09-13
maxtat
08:22:41 2016-09-13
Nikolas
08:16:51 2016-09-13
a13x
07:48:27 2016-09-13
GREII
07:10:39 2016-09-13
tigra
06:39:48 2016-09-13
solec
06:25:37 2016-09-13
znamy
06:24:10 2016-09-13
Б...а
06:08:29 2016-09-13