Читать «Журнал "Компьютерра" №710» онлайн - страница 30

Райнер Бёме (Rainer Bцhme) рассматривает несколько типов рынков уязвимостей. "Баг-челленджи" (bug challenges) и "баг-аукционы" (bug auctions) относятся к самым простым и известным видам. Например, Дональд Кнут обещает выплачивать за каждую найденную ошибку в издательской системе TeX некоторую сумму, увеличивающуюся со временем. Аналогично Mozilla Foundation платит исследователям за уязвимости, найденные в браузере Firefox. В зависимости от заявленной цены исследователь может предпочесть продать уязвимость вендорам, вместо того чтобы использовать ее для создания эксплойта. Для этого, однако, цена должна быть достаточно большой и увеличиваться с ростом количества установок и внедрений.

"Несмотря на возможность денежного выражения стоимости эксплойта, я бы не назвал этот подход прекрасным рынком уязвимостей, поскольку соответствующий рыночный механизм обладает множеством проблем, - пишет Бёме. - Цена на этом рынке определяется покупателем (то есть вендором ПО. - И.Щ.), а не является результатом договоренности". В результате она представляет собой только нижнюю оценку, и использовать ее затруднительно.

Еще один вариант: "брокеры уязвимостей" - здесь речь идет о компаниях, скупающих информацию о дырах в безопасности для ее перепродажи "хорошим людям" (вендорам ПО, корпоративным пользователям и т. д.). Такие компании существуют - например, iDefense, TippingPoint, Digital Armaments и др. С точки зрения общественной пользы, этот подход тоже далек от идеала - потому, в частности, что не сообщает никакой информации (о ценах уязвимостей и надежности продуктов) широкой публике. К тому же он вызывает соблазн у "плохих людей" (преступности) получить доступ к упомянутой информации.

Еще один вариант рынка - "exploit derivatives" (мне не удалось подобрать хорошего перевода этого термина). Суть его в том, что торговля на рынке происходит не самими эксплойтами и информацией об уязвимостях, а обязательствами выплатить определенную фиксированную сумму при наступлении того или иного события - например, обнаружения (или необнаружения) уязвимости какого-то конкретного продукта в конкретный момент времени. В этом случае стоимость подобных обязательств будет указывать на предполагаемую надежность продукта.

Так, производитель ПО, уверенный в своем продукте, может активно покупать контракты, по которым производятся выплаты, если уязвимость не будет обнаружена, - тем самым поднимая стоимость контракта практически до номинала. Аналогичным образом исследователь, обнаруживший уязвимость в продукте, считавшимся безопасным, может скупить контракты, выплаты по которым производятся в случае обнаружения уязвимости, а потом раскрыть свою информацию и продать контракты по более выгодной цене.