вторник, 27 марта 2012 г.

Цена 0day

Так как я теперь буду "бложить", то не могу не обойти вниманием такую тему, как добыча $$$ за уязвимости и эксплойты. Сия проблема будоражит умы многих не глупых людей (http://oxod.ru/?p=361 http://sgordey.blogspot.com/2012/03/blog-post_24.html). Выскажусь и я.

Суть истории в том, что компания Vupen найдя 0day багу в Google Chrome + возможность побега из песочницы (опять из флэша?) отказалась "сдавать" информацию о проблеме компании Google, т.е. вендору. Мотивация у них проста - они лучше продадут её своим клиентам(НАТО, гос. учреждения типа Немецкой полиции и т.д.) и заработают намного больше, чем предлагает Google. Типа это плохо, и настоящий вай-хаты так не делают.

Что-то мне подсказывает, что вай-хатов не существуют вообще. Вернее они существуют отдельно в головах отдельных ресерчеров. У них есть свои моральные-нормы. Что можно и что нельзя. Когда мы говорим о бизнесе - эти нормы стираются в угоду общему благу корпорации 8) Если ресерчер может работать в компании сохранив свои принципы - это гуд. Но есть и грань. Например. если с Вупен все ясно - они специализируются на продаже эксплойтов гос. учреждениям, правительственным и силовым структурам - то это не плохо. Не русским же кибер-преступникам толкают! Не террористам! Не китайским шпионам. В их понятиях морали - это нормально. Они вейт-хэты. Не вижу проблем, почему так делать нельзя (им). В России то же полно ресерчеров. И есть те, кто так же толкает 0day эксплойты - http://intevydis.com/vulndisco.shtml .

Есть и много других талантливых и умных парней, тот же Сергей Глазунов, а еще куча анонимных и не очень контрибуторов ZDI/iDefense. Кому и что они продают - вариантов масса, и все определяется только их собственной моралью. Поэтому не совсем понятно и даже немного обидно это обзывательство от Сергея - "Жидохэкер" 8)) Дело не в деньгах же. А еще - поиск уязвимости, написание эксплойта, поиска уязвимости в песочнице, написание второго эксплойта - это большая и не самая простая работа. А за работу надо платить. Причем плата может быть разная:
- Деньги от покупателя (гос. конторы - хорошие ребята и деньги имеют)
- Прямые деньги от вендора
- Скататься на конференцию (это тоже палата. ведь организаторы конфы платят тебе за перелет, за проживание, а BlackHat еще и дополнительный гонорар платят - как раз вот жду 8)
- Бесплатно уведомить вендора и бесплатно потом вывесить адвайзои, спустя год, на своем сайте.

(отсортировано в порядке прибыльности, а так же в порядке ценности уязвимостей.)

Все это выгода. Даже последний пункт - сырая выгода. К примеру, есть у нас фирма, оказывающая консалтинговые услуги по ИБ. Кроме того мы может ещё и что-то там продаем. Но нам нужен ПР, что бы быть самыми-самыми! Для этого создаются лаборатории и там вывешиваются адвайзори - смотрите, мы нашли столько опасных проблем - мы умные и добрые, связывайтесь с нами, покупайте...! У большинства европейских контор, занимающихся пен-тестами есть такие вот лабы. Это нормально. Это показатель. Поэтому на вопрос к PTSec - "Зачем вы это делаете?! Хотите сделать мир лучше?" от кого-то из разработчиков. Ответ очевиден - ПР. Это же рынок, такие тут законы. И DSecRG - то же ПР. Конечно нас прет от этого, мы любим искать баги, нам приятно получать благодарности от IBM, VMware, SAP и тд. Но у нас есть компания, которая зарабатывает деньги консалтингом, и что бы было очевидно, кто умеет работать, а кто просто словами бросается, нужны такие лабы:

http://www.ioactive.com/resources_advisories.html
и много еще кто...

Ну и Россия:

И это все? Если есть ещё - пишите, добавлю!

Так что не надо говорить про белых шляп, когда речь идет о бизнесе 8)
Дело в людях... например, вот есть проблема с группой сайтов и, допустим, утечкой данных через что-то там. Что делает белая шляпа? Создает панику? Создает инфо-повод - привлекая внимание СМИ? Или тихо помогает сайтам-пострадавшим? Но ведь в последнем случае НИКТО не узнает о тимуровцах...






Defcon Group #7812 - девятая встреча

В эту пятницу, в Питере, в Политехе пройдет 9-ая встреча нашей группы. Надеемся, будет угарно и весело (как обычно)! Никаких перс. данных, никаких стандартов и комплаенса.

Темы:

  • Алексей Россовский — «Основы реверсинга ARM». В докладе будут рассмотрены основы ARM архитектуры, принципы реверсинга низкоуровневых приложений.
  • Алексей Синцов — «Проникновение в Lotus Domino через сервис консоли администрирования». Доклад с конференции BlackHat EU, о трудностях боевых будней рядового пен-теcтера, а так же о 0day уязвимости в Lotus Domino Server Controller. Будет рассказано о проблемах качественного проведения тестов на проникновения, а также на живом примере будут продемонстрированы уязвимости консоли администратора Lotus Domino (Domino Controller, порт 2050/tcp). Почему 0day уязвимость, продемонстрированная на конференциях ZeroNights и BlackHat EU до сих пор не закрыта? Можно ли с её помощью взломать IBM? Правительство США?
  • Дмитрий Евдокимов, Алесандр Миноженко, Алексей Синцов — «Binary Armor/Windows world». Описание существующих методов и технологий защиты ПО от угроз произвольного выполнения кода. DEP, ASLR, /GS, Песочницы и многое другое, что полезно знать разработчику.
  • «Offensive Security — WTF?». Дискуссионная панель для всех страждущих общения и обмена опытом. Тема дня — offensive security, разработка эксплойтов, тесты на проникновение — где граница между злом, добром, честностью и бизнесом?

Желающие выступить — пишите на defconrussia@gmail.com.

Место:
СПбГПУ (Политех) — Корпус 11 (ФУИТ). Аудитория 102 ул. Обручевых, д. 1 (вход с ул. Гидротехников). Карта.

Подробности — https://defcon-russia.ru/9.php.

Вход свободный.

Twitter — https://twitter.com/defconrussia.