$12 000 за взлом Vista

Операционные системы Windows – традиционная цель для хакеров всего мира. Информация о новых “дырах” в Windows появляется едва ли не каждую неделю, а выход каждой новой версии системы сопровождается массовыми попытками взлома. Специалисты лаборатории информационной безопасности iDefense Labs (принадлежит компании Verisign) решили изучить самые опасные уязвимости Windows Vista прежде, чем от них пострадают пользователи. Лаборатория объявила конкурс среди хакеров на поиск самых критических уязвимостей и эксплойтов к Vista и Internet Explorer 7. Присланные программы будут оцениваться с точки зрения их работоспособности в обновленной операционной системе и новых версиях браузера. А первые шесть участников станут обладателями премии от $8000 до $12 000. Кроме того, участники могут получить от $2000 до $4000 за создание работоспособного эксплойта.

В России подобные конкурсы – экзотика, но в мире они являются распространенной практикой. В феврале прошлого года та же iDefense пообещала по $10 000 каждому, кто найдет “дыру” в любой из программ Microsoft. Правда, у таких конкурсов имеется обязательное условие – наличие уязвимости должна признать сама Microsoft.

Microsoft денег за нахождение уязвимостей не платит, в отличие от производителя главного браузера-конкурента Firefox – компании Mozilla, которая предлагает по нескольку сотен долларов за каждую найденную “дыру”. А в 2005 г. компания DVForge пообещала премию в $25 000 тому, кто напишет вирус для платформы Mac OS от Apple, считающейся одной из самых защищенных. Правда, вскоре этот конкурс был отменен по просьбам пользователей Mac, которые тревожились за безопасность своих компьютеров.

Российские специалисты по безопасности не в восторге от методов западных коллег. Многие из них считают, что платить деньги за нахождение уязвимостей – все равно что нанять хакера на работу, тем самым легализовав криминальный бизнес . “Мы не вступаем в контакт с вирусописателями ни при каких обстоятельствах, – говорит руководитель PR-службы “Лаборатории Касперского” (ЛК) Ольга Кобзарева. – Если мы узнаем о [хакерском] прошлом или настоящем человека, обратившегося к нам, мы сообщаем информацию о нем соответствующим органам”.

Собеседники “Ведомостей” признают, что черный рынок торговли уязвимостями и эксплойтами давно существует, но оценить его объем не берутся. Есть хакеры, которые целенаправленно занимаются исследованием программных продуктов, находят бреши и потом продают их заинтересованным лицам, рассказывает директор по маркетингу компании Info Watch Денис Зенкин. Их покупают те, кто использует “дыры” для установки шпионского ПО на чужих компьютерах и затем рассылает с этих компьютеров спам, крадет пароли и совершает финансовые махинации. Самой известной историей стала продажа в 2004 г. российскими хакерами эксплойта для уязвимости WMF-файлов в системе Windows – как выяснила ЛК, они предлагали его представителям криминального бизнеса за $4000. После продажи этого эксплойта появилась целая серия троянских, шпионских и рекламных программ, построенных на этой уязвимости.

“Покупка эксплойтов – порочная практика, она стимулирует хакеров искать бреши”, – убежден Зенкин. Кобзарева также считает инициативу iDefense неэтичной, хотя допускает, что одним из мотивов американской компании могло стать желание регулировать торговлю уязвимостями на черном рынке. Возможно, эксперты iDefense хотят опередить хакеров, понимая, что продажа уязвимости в любом случае произойдет, рассуждает она. А гендиректор российского офиса Eset Дмитрий Попович, напротив, считает, что любая информация об уязвимостях помогает разработчикам увеличивать безопасность своих продуктов. “Лучше, если результаты будут общеизвестны, ведь злоумышленники чаще всего используют никому не известные уязвимости”, – полагает он.