Уязвимости не пахнут

Уязвимые

добавить в избранное

Уязвимости не пахнут

Прочитали: 4973 Комментариев: 55 Рейтинг: 300

13 сентября 2016

Поиск уязвимостей — это бизнес. Искатели «дыр» получают из этого прибыль, и альтруизмом тут не пахнет, как не пахнут и сами деньги.

Чем больше софта и умных вещей подарит нам прогресс, тем больше будет уязвимостей и уязвимых, а значит — больше денег будет крутиться на этом рынке. Ничего личного — только бизнес!

Исследователи безопасности — как легальные компании, так и злоумышленники — профессионально занимаются ВЗЛОМОМ, такой уж у них заработок. Правда, делают они это с разными целями. Или, по крайней мере, до недавнего времени так казалось.

Некоторые исследователи уязвимостей сотрудничают с компаниями, нанимающими их легально, и получают вознаграждение по договору. То есть поиск уязвимостей начинается после того, как заказчик и исполнитель официально оформили свои деловые отношения.

Некоторые ищут «дыры» по собственной инициативе и затем сообщают о них производителям. Часто те отказываются платить за эту информацию или предлагают слишком малые деньги, из-за чего исследователю выгоднее продать данные на черном рынке хакеров. А если уязвимости находили неоднократно, а производитель каждый раз отказывался заплатить, то ведь и отомстить можно?

Новые времена диктуют новые нетрадиционные подходы к заработку в сфере профессиональных взломов.

Из цитаты ниже видно, что не только киберпреступники могут пытаться получать доход от продажи информации об уязвимостях на черном рынке или третьей заинтересованной стороне (не разработчику или производителю).

Группа хакеров, работавших на стартап MedSec, нашла способ взломать кардиостимуляторы и дефибрилляторы, которые выпускает крупный американский производитель медицинского оборудования St. Jude Medical. Однако вместо того чтобы сообщить компании об уязвимостях в ее продуктах, хакеры обратились к Карсону Блоку (Carson Block), главе инвестиционной фирмы Muddy Waters Capital, предложив обнародовать подтвержденную информацию о том, что аппараты St. Jude Medical опасны для жизни пациентов. По плану хакеров, одновременно с этим Блок должен занять на бирже по отношению к компании «короткую позицию», то есть взять на себя обязательства по срочным сделкам при игре на понижение. Когда распространение компрометирующей информации ударит по репутации St. Jude Medical, и ее акции обвалятся, Блок сможет на этом заработать. Гонорар хакеров будет тем больше, чем сильнее упадут в цене акции.

Дополнительным эффектом мог стать срыв сделки по поглощению St. Jude Medical химико-фармацевтической корпорацией Abbott Laboratories. В интервью Bloomberg Карсон Блок заявил, что вдобавок к «короткой позиции» (игре на понижение) по отношению к St. Jude Medical он занял «длинную позицию» (играет на повышение) по отношению к Abbott Laboratories. Это должно застраховать его от неудачи при любом исходе дела.

Но генеральный директор MedSec Джастин Боун (Justine Bone) заявила, что не будет давать St. Jude Medical времени на исправление проблем, так как та в прошлом игнорировала подобные предупреждения. Кроме того, существует вероятность, что компания будет преследовать хакеров в судебном порядке, чтобы заставить их молчать. По словам Боун, MedSec обратилась к Muddy Waters, поскольку у той уже есть опыт в привлечении крупных корпораций к ответственности.

MedSec сознательно нарушает базовые принципы этичного исследования безопасности, и делает это в сфере, где ставкой является человеческая жизнь.

http://safe.cnews.ru/news/top/2016-08-29_hakery_rassekretili_dyru_v_kardiostimulyatorah

Мы видим в этой истории следующие этические проблемы:

Должен ли хакер молчать о найденной критической уязвимости? А если у него договор на исследование с производителем устройства? А если производитель отказывается устранять уязвимость?
Только ли сам производитель может оценить возможность и необходимость устранения уязвимостей (в том числе в уже выпущенных устройствах)? Но в большинстве случаев, связанных с аппаратным обеспечением, даже если производитель закроет уязвимость в выпущенных устройствах, никто из пользователей, скорее всего, устанавливать обновления не будет. Представьте ситуацию, когда вы используете кардиостимулятор длительное время, и тут вам предлагают обновить прошивку. Вы уверены, что после этого у вас не возникнет проблем? А для многих устройств обновления вообще не предусмотрены!

#уязвимость #хакер

Антивирусная правДА! рекомендует

Увы, уязвимости есть везде. Есть они и там, где установка средств защиты (да, антивируса!) невозможна. Как правило, бОльшая часть подобного оборудования работает без связи с разработчиком: те не могут в режиме реального времени отслеживать состояние безопасности проданных устройств и корректировать системы безопасности — выпускать обновления, закрывающие бреши. Риск использования такого оборудования лежит полностью на пользователях. А значит, молчание об уязвимостях выгодно и производителям, и потребителям – пусть даже в ущерб безопасности потребителей. Иными словами, это выгодно всем, кроме хакеров.

MedSec была основана в 2015 г. Робертом Брайаном (Robert Bryan), бывшим портфельным менеджером инвестиционной консультации Metaval Capital, который также сотрудничал в этой сфере с компаниями Cyrus Capital и Goldman Sachs. MedSec базируется в Майами и предлагает услуги по тестированию и обеспечению безопасности медицинского оборудования. Искать баги в этой технике никогда не было прибыльным делом, поскольку результаты нельзя даже продать разработчикам антивирусов.

http://safe.cnews.ru/news/top/2016-08-29_hakery_rassekretili_dyru_v_kardiostimulyatorah

Ну а антивирусы, естественно, виноваты во всем. А кто еще?

Покупая устройство, убедитесь, что для него возможна функция обновления.
Изучите процедуру обновления и убедитесь, что она вам понятна, — изучать ее в спешке будет поздно.
Установите уже вышедшие обновления до начала использования устройства.
Узнайте телефон и адрес технической поддержки производителя. Если возникнет критическая ситуация, то, возможно, каждая секунда будет на счету.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Toma
21:25:18 2018-12-12

Уязвимости есть везде, поэтому всегда нужен надежный антивирус!

Денисенко Павел Андреевич
22:13:25 2018-08-05

Виноваты не антивирусы, а пользователи в первую очередь.

vasvet
23:48:01 2018-04-10

Интересные советы, иногда даже не выполнимые.

alex-diesel Собкор
14:32:15 2018-03-19

Чем сложнее устроен мир и общество, чем больше в нем активных участников, устройств, сетей и вообще элементов, компонентов и систем - тем разнообразнее могут быть угрозы. Тем сложнее (да, что там, просто НЕВОЗМОЖНЕЕ) предусмотреть всё. Поэтому закономерно максимальная бдительность при минимальной открытости.

eaglebuk
23:05:42 2017-02-11

Надо разорить MedSec и подобные ей компании в суде

М...ч
22:09:25 2016-10-19

а как они собрались кардиостимуляторы заражать? Или они выходят в сеть?

Ruslan
12:52:19 2016-10-12

Полезная информация и хорошая статья. Спасибо!

Anton_S
15:42:06 2016-09-25

Ведь здесь ничего личного, просто бизнес.

Анатолий
07:42:43 2016-09-15

Для меня очень полезная информация.

vla_va
22:55:17 2016-09-13

слабость - в силу!

В...а
22:53:10 2016-09-13

это индустрия

ek
22:46:35 2016-09-13

тут только вовремя...

razgen Собкор
22:38:42 2016-09-13

Для многих пользователей произвести обновление проблематично. Некоторые умышленно отказываются, отключают обновления, считая что после обновлений бывает часто что программы глючат. Хорошо вот Доктор Веб производит обновления автоматически без участия пользователя и никаких проблем.

НинаК
22:37:19 2016-09-13

потоки уязвимостей

kva-kva
21:49:29 2016-09-13

спорить можно

mk.insta
21:27:15 2016-09-13

очевидно

Dvakota
21:09:22 2016-09-13

Ради прибыли люди идут на все.

Альфа
19:55:20 2016-09-13

Кругом одни меркантильные интересы.

krant
19:47:47 2016-09-13

"Ну а антивирусы, естественно, виноваты во всем. А кто еще?" Это лишнее.

dyadya_Sasha Собкор
19:15:47 2016-09-13

Разработали модель кардиостимулятора, получили после продолжительных испытаний, наблюдений лицензии и сертификаты, запустили в производство. Тысячи людей вновь почувствовали себя людьми, а может быть обрели жизнь. Живут и радуются. Не тут-то было, рано радоваться. Умные головы находят уязвимости. Кто пострадал от наличия этих уязвимостей до того, как их обнаружили - да никто, поскольку кардиостимулятор досконально проверяли прежде, чем запустить в производство. А теперь могут пострадать и уже страдают, так как где-то прочитали, что кардиостимулятор, который у них стоит якобы имеет какие-то уязвимости. У кого-то от одной этой новости инфаркт случиться может и стимулятор не поможет. Какая-то поганая запутанная ситуация. Теперь производитель должен тратить и деньги и интеллектуальные ресурсы на закрытие бреши, степень зловредности которой не понятен, вместо того, чтобы спасти еще тысячи людей разработав стимуляторы других органов. Группа хакеров, делая вроде благое дело, будут повинны в гибели людей, если открытые ими уязвимости попадут не в те руки. И конечно же мрачность с оттенком грязи этой картине придает вопрос финансовый.

Voin sveta Собкор
19:01:41 2016-09-13

Да, очень наиспорнейшая ситуация, делемма так сказать. Спасибо автору за интересную и исчерпывающую статью!

Геральт Собкор
17:43:14 2016-09-13

Обновляйтесь короче.

bob123456 Собкор
16:56:02 2016-09-13

@bob123456, Это как в анекдоте. Сидят двое частных врачей у постели больного с высокой температурой. Надо ставить градусник. Вот только градусник взял да покатился, упал и разбился. И тут два врача начали спорить о том кто пойдёт покупать его.

- Ты должен идти
-- Нет, ты должен идти.

Посмотрел больной на этих двух "лекарей", взял да умер. А врачи так и продолжали спорить о том кто пойдёт покупать градусник (который купил у них же больной) у кровати с окоченевшим трупом, которому этот градусник (кардиостимулятор) уже и не нужен.

bob123456 Собкор
16:14:56 2016-09-13

А я считаю, что во всей этой некрасивой истории виноваты все кроме самих пациентов, которые остались самыми крайними и к тому же ещё пострадавшими заложниками в данной ситуации, ведь от функционирования данных приборов зависит прежде всего их жизнь. Да, только пациент имеет право знать о всех преимуществах и недостатках изготовленных приборов, которые являются жизненно необходимыми.

Как мы видим из статьи, St. Jude Medical заранее знала об уязвимостях (о которых ей сообщала MedSec) , но ничего не говорила своим пациентам. Это аморально и данная компания не имеет никакого морального права называться "святой". С другой стороны MedSec решила заработать на жизнях пациентов. Пока те будут зарабатывать бабло на акциях, пациенты могут умереть. То есть пока Jude Medical и MedSec собачатся, кто-то может воспользоваться данной информацией и узнать направление поиска уязвимостей, а потом скажет, что продукция данной фирмы бракованная и от неё умирают пациенты. Кого "Медсек" (как видно из её названия) защищает? Свой кошелёк? Занимается шантажом для того, чтобы купили их ненужные уязвимости?

Гнусная история. Ненавижу тех, у кого в голове исключительно одно бабло и которые уже давно людей за "людей" не считают. Что характерно для Запада с их чёртовой толерантностью.

Mehatronik
16:14:30 2016-09-13

Полезная информация. Спасибо

B0RIS
16:13:03 2016-09-13

Поиск уязвимостей и "багов" дело нужное. Производитель должен сделать все возможное для безопасности своего изделия!

ada
15:45:21 2016-09-13

Интересно почитать!

GREII Собкор
15:37:56 2016-09-13

@kama35, что бы не носить с собой чемодан на проводах,для отладки и настройки ,а так же контроля батарейки и других параметров устройства и самого человека те пульс давлением тд и тп.конечно радиосвязь такого устройства должна быть шифрованой и запароленой и новерно тут и есть уязвимость

DrKV Собкор
15:33:36 2016-09-13

Обновляю операционку на смартфоне регулярно. Процедура довольно понятна и проста. Спасибо за рекомендации.

Неуёмный Обыватель Собкор
14:47:25 2016-09-13

Чаще всего ох как непросто выполнить функцию обновления устройства. Обывателю это кажется сродни полёту в космос

Дмитpий Собкор
14:09:08 2016-09-13

Хорошо, установка антивируса не предусмотрена, но если уж есть сетевой интерфейс, то хоть в каком-то виде обязан быть брандмауэр? И сколько не рассуждай тут, кто из них (производители или эксперты ИБ) более этичен или менее аморален, получается у всех рыльце в чём-то. Может тогда и станет понятно, что "чипованое" сердце выходом из ситуации не является и пора развивать другие технологии оказания помощи больным такими недугами?

kama35
13:19:26 2016-09-13

Господи, да зачем кардиостимулятору вообще связь с внешним миром? И уж тем более прием внешних команд...

Deniskaponchik Собкор
12:55:30 2016-09-13

У сердечников и так не всё в порядке, а от этой новости может стать ещё хуже

Влад
11:08:21 2016-09-13

Рекомендации дельные.

L1t1um
10:05:37 2016-09-13

Интересно было почитать! Спасибо за информацию.

Rinat_64
09:38:13 2016-09-13

Принято к сведению. Спасибо!

djabax
09:37:10 2016-09-13

Я считаю правильно сделали, т.к. далее по цитате "MedSec пошла по самому агрессивному пути, который некоторые разочарованные специалисты по информационной безопасности считают единственно верным. Компания считает, что только потеря значительных сумм заставит производителей техники обратить действительно серьезное внимание на кибер-защиту продуктов. При этом стартап сознательно нарушает базовые принципы этичного исследования безопасности, и делает это в сфере, где ставкой является человеческая жизнь." Пока по карману больно не ударит, так и будут производители "забивать" и ничего не изменится. Тем более: "Ни MedSec, ни Muddy Waters пока не предают огласке ключевые технические подробности взлома" и "О подобных угрозах говорят уже десять лет(ДЕСЯТЬ ЛЕТ, КАРЛ, ДЕСЯТЬ!!!), но до сих пор риск, которому подвергаются сотни тысяч людей с имплантами St. Jude Medical, считался скорее теоретическим".

Nikodim2011 Собкор
08:59:25 2016-09-13

Мы заложники прогресса и новых устройств и программ. Ну а виноватым, как это верно указано в статье, окажется в итоге не хакер, производитель или пользователь, а антивирус и вся его создавшая Лаборатория... Ну а кого в итоге винить то? А если на устройство установить антивирус невозможно, то это не оправдание - Лаборатория все одно виновата, так как не ее продукт установить в такое устройство нельзя! :)

mazev
08:53:42 2016-09-13

Хорошими делами прославиться нельзя. Увы!

Vlad X
08:46:40 2016-09-13

В современном мире мораль не котируется.
Печально.

Sasha50 Собкор
08:44:56 2016-09-13

Кощунственно, конечно, влезать в "дыры" медицинских приборов и делать пакости, но есть и такие уроды. Их мало, но испортить жизнь ( в прямом смысле) некоторых людей могут, паразиты.

FrEd
08:36:00 2016-09-13

Спасибо! Буду знать!

maxtat
08:22:41 2016-09-13

Не пахнут - воняют!

Nikolas
08:16:51 2016-09-13

Прочитал. Спасибо за информацию.

a13x Собкор
07:48:27 2016-09-13

Эх. И куда только мир катится.

GREII Собкор
07:10:39 2016-09-13

у всего есть свой срок годности -до не пригодности. смотрите на упаковке. и в нашем случае это тоже присутствует. читайте и соблюдайте инструкции производителя и помните все что связано с интернетом,проводным или беспроводным управлением - может быть взломано и испорчено сторонними силами. спасибо за обзор.

tigra Собкор
06:39:48 2016-09-13

не всегда обновления есть хорошечно. Старый друг лучше новых двух. как то так.

solec
06:25:37 2016-09-13

Очередное подтверждение истины : деньги не пахнут.

znamy
06:24:10 2016-09-13

Зарабатывать на здоровье других это плохо,пусть зарабатывают на программах к софту.Спасибо за статью.

Б...а
06:08:29 2016-09-13

Бизнес на поисках уязвимостей процветает.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Уязвимости не пахнут

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей