April 12th, 2010

white

Как стимулировать хакеров?

Назревает централизованная скупка уязвимостей. А в перспективе – и утечек, инсайдерской информации.

Тот, кто обнаружил уязвимость в чужой информационной системе (ИС), находится в щекотливом положении. По всем этическим нормам полагается сообщить об уязвимости владельцу ИС (производителю ПО), после чего дождаться исправления (патча). И лишь потом хакерская мораль разрешает собрать немножко славы, опубликовав уязвимость. Если же кто возжелает вместо славы денег, он перешагнёт грань, отделяющую этичного хакера от презренного вымогателя. Эта грань и так не слишком чёткая: то и дело обиженные носители уязвимостей пытаются свалить свою вину (сорвать свою злость) на тех, кто выявил их ошибки.

Получить денег за найденную "дыру" (а тем более – утечку) достаточно сложно. Успех зависит исключительно от доброй воли и здравого смысла владельца уязвимого ресурса. Добрая воля в корпоративном секторе – большой дефицит, а здравый смысл чаще всего задушен жабой.

В то же время, выдача гарантированного вознаграждения за сообщение об уязвимости (утечке) – это способ стимулировать поиск и исправление оных. И хорошая конкуренция "чёрным копателям", которые тоже активно ищут уязвимости, но делают это с заведомо злым умыслом.

Поставим себя на место владельца "дырявой" системы. Заинтересованы ли мы платить этичному хакеру, который указал нам нашу уязвимость, намекает на вознаграждение, но не имеет никаких законных оснований его требовать? Уже оказанная услуга ничего не стоит. Будет ли "следующий раз"? Мы уверены, что нет. Отсюда вывод – платить не надо. Большинство ограничивается устной благодарностью. Другие – неопределёнными угрозами: «Попробуй только ещё раз копаться в нашем продукте! Вот мы тебе!» Бывают и вовсе экстремистские варианты, когда опозорившаяся СБ хочет на кого-то свалить вину.

В то же время общественный интерес состоит в том, чтоб за каждое сообщение об уязвимости полагалось некоторое материальное вознаграждение. Если, конечно, хакер соблюл все принятые ритуалы: ничего не сломал, раньше времени не обнародовал, информацию представил правдивую и полную.

Итак, необходимость имеется. Как её можно реализовать выгодным для всех образом, ваш покорный слуга напишет завтра (если придумает).