Znechucené technologické firmy chtějí kupovat tipy přímo od hackerů, kteří je trápí
Ruský hacker známý jako Bit měl na prodej jednu cennost. Našel chybu ve webovém prohlížeči Internet Explorer od Microsoftu, která produkt dělá zranitelným. A přišel na to, jak ji využít. V chatovací místnosti navštěvované autory virů přišel Bit s nabídkou. V inzerátu vyvěšeném 16. července na adrese http://forum.web-hack.ru stálo: „Prodám návod na využití Internet Exploreru z nulového dne.“ Cena: 300 dolarů.
Je spousta míst, kde Bit své zboží může propagovat. Web-hack.ru je jen jedna výloha obrovského podzemního obchodu s počítačovou zranitelností – s trhlinami v softwaru, jež zákeřní hackeři velice rádi využívají. Bezpečnostní analytikové uvádějí, že organizovaný zločin velmi dobře platí za informace, které mu pomáhají pronikat do podnikových databází a vykrádat osobní údaje lidí. Dat je velké množství. Stovky hackerů jako Bit si vyměňují tipy na portálu Web-Hack.ru na to, jak „rozlousknout“ Windows XP od Microsoftu pro operační systém Symbian používaný v milionech mobilních telefonů.
Podplácení?
Nový trend je na počátku. Hrstka firem z oboru počítačové bezpečnosti vytváří zákonné trhy pro tajné informace hackerů a chce kupovat tipy právě od lidí, kteří je trápí. Jsou to diskutabilní trhy, protože hackeři jsou na nich odměňováni za objevování počítačových skulin a nezasvěceným se to jeví jako placení výpalného. Avšak bezpečnostní firmy prohlašují, že toto pojetí volného trhu jim přinese velmi důležité informace, aby mohly posilovat ochranu pro své klienty.
V srpnu spustila bezpečnostní firma TippingPoint svůj trh v oblasti zranitelnosti pod názvem „iniciativa nulového dne“ (Zero Day Initiative – ZDI). Termín „nulový den“ se týká cíle některých hackerů využít trhlin v softwaru ještě předtím, než výrobce softwaru dostane upozornění, aby je opravil. Jako součást programu bude TippingPoint nabízet hackerům obdobu bonusů, jaké nabízejí aerolinie zákazníkům, kteří s nimi často létají. Opakovanými příspěvky je možné nastřádat body až do hodnoty 20 tisíc dolarů. „Když informace přijdou od někoho, kdo by je jinak prodal na černém trhu, bude to vynikající,“ uvádí Marc Willebeek-LeMair, technický ředitel společnosti 3Com, která firmu TippingPoint vlastní, „taková je cesta do budoucnosti.“
Všechno je to součástí nového úsilí technologického průmyslu poprat se s hackery. Prostředky technologické obrany samy o sobě nemůžou zastavit rostoucí příval počítačových virů, průniků a podvodů. Některé technologické společnosti se proto snaží vytvářet styky s hackerským společenstvím. Cílem je zajistit si pomoc odpovědných hackerů známých jako „White Hats“ (bílé klobouky neboli „klaďasové“) a odrážet útoky zákeřných „Black Hats“ (černých klobouků neboli „záporáků“) a získat si na svou stranu ty, kteří stojí mezi nimi. „Porozumět lidem, kteří sedí u klávesnice a myši a píší kódy je pro zmírňování jejich útoků důležité,“ tvrdí Daniel J. Larkin, šéf centra FBI pro stížnosti na internetovou kriminalitu.
Důležitost styků s hackery se výrazně ukázala nedávno, když se společnost Cisco Systems dostala do nepříjemného sporu na výroční konferenci bezpečnostních expertů a hackerů v Las Vegas. Michael Lynn, badatel v oboru bezpečnosti, měl naplánovanou prezentaci o slabinách internetového operačního systému firmy Cisco, aby zákazníkům firmy pomohl bránit se. Avšak Cisco a Lynnův zaměstnavatel, společnost Security Systems, se dohodly, že prezentace nebude. Lynn rezignoval a 27. července prezentaci přesto přednesl. Následujícího dne mu společnost Cisco předhodila soudní příkaz požadující jméno „každého, komu vyzradil… prodal nebo nabídl k prodeji… jakýkoli kód nebo jakékoli bezpečnostní slabiny Cisca“.
Rovnalo se to vyhlášení války hackerům. „To bylo od Ciska přehnaně tvrdé a hackerská komunita je na ně naštvaná,“ říká Kevin D. Mitnick, nechvalně známý počítačový machr, který byl za hackerství za mřížemi a potom si založil vlastní poradenskou firmu na počítačovou bezpečnost. Experti uvádějí, že od vydání soudního příkazu pracuje celá armáda programátorů na tom, aby se nabourali do technologie Ciska. Firma přiznává, že přehodnocuje svou politiku pouze příležitostné výměny informací s hackery. „Vedeme interní rozhovory o tom, co dalšího bychom ještě mohli dělat,“ podotýká Robert Gleichauf, technický ředitel Ciska pro bezpečnostní technologii. Lynn nebyl k zastižení, aby se k věci vyjádřil.
Protipólem může být Microsoft. Z důvodu monopolu Windows a historie zastrašování soupeřů je tento obr oblíbeným terčem hackerů a dlouho se na ně díval s opovržením. Teď se však firma aktivně uchází o přízeň jejich společenství. Při stejné lasvegaské konferenci, kde se společnost Cisco dostala do veřejné roztržky, Microsoft uspořádal večírek v pompézním nočním klubu Pure v hotelovém komplexu Caesars Palace a otevřel bar pro víc než 450 badatelů z oboru bezpečnosti a sólových hackerů. „Jedna možnost je chovat se příkře. Jiná je uznat, že tito lidé jsou zažraní do bezpečnosti,“ konstatuje Kevin Kean, ředitel Microsoft pro bezpečnostní odezvu, „večírek je upřímným pokusem o to, abychom si tuto komunitu získali.“
Čarovná ofenziva.
To je jen jedna část čarovné ofenzivy Microsoftu. Firma z washingtonského Redmondu hostila dvoudenní „summit modrých klobouků“ (Blue Hat Summit – v názvu akce se odráží modrý emblém Microsoftu). Setkání umožnilo hackerům, aby si kamarádsky popovídali s vysoce postavenými vedoucími pracovníky, jako je šéf skupiny Windows James E. Allchin. Další summit se má konat v říjnu.
Zdá se, že taktika společností z oboru si získává přízeň některých adresátů. Dan Kaminsky, šestadvacetiletý samozvaný hacker, který ze svého domova v Seattlu řídí vlastní bezpečnostní firmu DoxPara Research, uvádí, že bylo typické, že takové společnosti jako Microsoft se jemu a jeho hackerským přátelům vyhýbaly. V březnu byl však vyzván, aby promluvil na „summitu modrých klobouků“. V současnosti je zaujatý „iniciativou nulového dne“. Říká, že hackerské společenství je plné naděje, že ZDI uloví některé z nejnebezpečnějších kódů v temných zákoutích sítě. Nejlepší cestou, jak se vypořádat s bezpečnostním problémem, je podle Kaminského zjistit, jak se zapisuje: „Musíte dostat vývojáře dovnitř hradeb.“
Společnost TippingPoint vyvinula svůj program velmi pečlivě. Aby zamezila pronikání hackerů, kteří by mohli využívat trh, společnost od všech účastníků vyžaduje, aby poskytovali fotografickou identifikaci a podrobovali se kontrolám. Za tipy na mezery v bezpečnosti bude platit jen v systému firmy Western Union Financial Services nebo bankovními převody a nebude provádět on-line peněžní převody, které umožňují maskovat totožnost.
Ucpávání děr.
Program je sestaven tak, aby vypadal jako program aerolinií pro pasažéry, kteří s nimi často létají. Existují čtyři stupně výhod: bronzový, stříbrný, zlatý a platinový. Kromě bonusu 20 tisíc dolarů mohou hackeři na platinovém stupni získat trojnásobný počet bodů za každou novou trhlinu, kterou v tom roce objeví. Úvodního večírku ZDI se zúčastnilo 750 lidí. „Je tam nadbytek nezkroceného výzkumu,“ soudí Willebeek-LeMair ze společnosti 3Com, „když kolem něho vytvoříme program, můžeme zajistit, aby byl správně využit.“
První doklady naznačují, že takové trhy můžou přinášet plody. Bezpečnostní firma iDEFENSE z virginského Restonu, která v roce 2002 razila cestu placení za tipy na mezery v bezpečnosti, uvádí, že 200 hackerů ve 30 zemích zatím odhalilo 1100 bezpečnostních trhlin. Podle vládou podporovaného záchranného týmu v oblasti počítačové bezpečnosti (Computer Emergency Response Team – CERT) při Univerzitě Carnegie Mellon je k tomu třeba připočítat asi 350 trhlin ročně a porovnat to s celkovým počtem 3780 virů nalezených loni. Firma iDEFENSE uvádí, že nebude pracovat s žádnými hackery, o nichž bude vědět, že škodili.
Jedním z konvertitů je Vladimir Dubrovin. Tento ruský bezpečnostní guru vyvěšuje informace o softwarových dírách na své vlastní webové stránce poté, co informuje technologické společnosti. V současnosti si jako účastník programu firmy iDEFENSE zvaného „chyby za prachy“ (bugs for bucks) také svou prací vydělává a nepouští data o neopravených chybách do hackerského světa. Tvrdí, že „vydělávat peníze na tom, aby se změnil přístup k získávání informací bez oprávnění, je stejně dobré jako každý jiný způsob obživy“.
Placení výkupného za tipy přesto dráždí mnoho lidí působících v oboru bezpečnosti. Trápí je to, že by plodem této praxe mohlo být ještě víc zákeřných hackerů chtivých peněz a že by se softwarové slabiny mohly odhalovat rychleji, než jsou technologické firmy schopné je odstraňovat. Hrůzostrašné je zejména to, že zúčastnění hackeři by mohli hrát na obě strany: sbírat informace o bezpečnostních slabinách pro zákeřné využití a zároveň dávat nové tipy. „Každá společnost musí být znepokojena, když dává peníze lidem, o nichž ví, že se pokoušejí škodit,“ tvrdí Gene Hodges, prezident společnosti McAfee vyrábějící bezpečnostní software, „nevěřím, že existují okolnosti, kdy je to správné, a každá společnost, která to dělá, by měla změnit názor.“
Psst. Chcete si koupit kód?
Čím větší zranitelnost, tím víc kupujících je ochotno platit. Takhle to vypadá na trhu:
JAK POPULÁRNÍ?
Nalezení chyby v prohlížeči Internet Explorer firmy Microsoft, který používají miliony lidí, přinese víc peněz než zjištění chyby v méně rozšířeném prohlížeči Firefox firmy Mozilla.
JAK VÁŽNÉ?
Zranitelnost dovolující hackerům nabourat se do počítače generálního ředitele nebo do podnikové databáze má větší cenu než zranitelnost několika nevýznamných osobních počítačů.
JAK VÝZNAMNÉ?
Odhalení trhliny ve zdrojovém kódu směrovače Cisco vynese víc než vypátrání trhliny, která vyžaduje, aby hacker napsal nový kód, aby mohl zneužít software výrobku.
JAK SNADNÉ?
Objevení díry v softwaru databáze Oraclu vedoucí přímo k zákaznickým datům je cennější než odhalení trhliny v prohlížeči, která vyžaduje posílání „phishingových“ e-mailů.
Pramen: 3Com. BusinessWeek
Copyrighted 2005 by The McGraw-Hill Companies, Inc BusinessWeek
PŘEKLAD: Jiří Kasl
