Во время обсуждения
ситуации вокруг руткита Blue Pill
Виталий Камлюк сказал, что, с его точки
зрения, публикация кода руткита была
поступком не очень этичным и может
оказаться помощью "темной стороне". Мы
попросили Джоанну Рутковску
прокомментировать это мнение.
"Конечно, у меня другой взгляд.
Во-первых, заметьте, что эксплойты и
proof-of-concept-код (например, Blue
Pill) не создают новых уязвимостей в
системе - они только используют уже
существующие уязвимости. Если бы
компьютерные системы были правильно
спроектированы и реализованы, эксплойтов
не было бы. Публично доступные эксплойты
и другой подобный код только показывают
возможные опасности и позволяют изучать
возможные способы противодействия таким
проблемам.
Должна сказать, что
очень удивлена позицией, высказанной
"Лабораторией Касперского". Как
производитель систем безопасности, они
должны быть благодарны другим
исследователям за публикацию своих
результатов, которые позволяют
(например, самой "Лаборатории
Касперского") работать над
предотвращением таких
угроз.
Пожалуйста, учитывайте
также, что опубликованная версия Blue
Pill не может считаться malware,
поскольку не содержит никакого
вредоносного кода. Эта базовая версия
лишь устанавливает очень "тощий"
гипервизор и перемещает запущенную в
данный момент ОС в виртуальную машину,
контролируемую гипервизором. Ничего
больше! Конечно, кто-то может
использовать этот скелет для создания
перехватчика паролей, но точно так же
можно представить себе создание
системы-ловушки (honeypot system),
отладчика или даже anti-rootkit-системы
на основе нашего скелета.
Более
того, Blue Pill не использует никаких
дыр, а полагается только на
документированную функциональность, как
она описана в руководствах AMD. Так что
его даже нельзя классифицировать как
эксплойт."
Почем
лимоны?
Впрочем, описанные
проблемы - это не все плохое, что бывает
на свете. Даже если мы распределим
ответственность правильно, это будет
только шагом на пути к безопасности.
Дело в том, что в современных условиях
рыночные механизмы не могут обеспечивать
выигрыш более защищенных систем в
свободной конкурентной борьбе. Это
связано с тем, что рынок ИТ представляет
собой рынок с асимметричной информацией,
на котором продавец обладает более
подробными и точными данными о товаре,
чем покупатель.
За изучение
подобных рынков американский экономист
Джордж Акелроф получил в 2001 году
Нобелевскую премию по экономике.
Предложенная им модель довольно проста;
она носит название "лимонного рынка".
Рассмотрим рынок подержанных машин.
Допустим, что на нем продаются как
хорошие авто ("сливы", объективная цена
которых - $3000), так и "битые"
("лимоны", стоящие реально $1000),
причем покупатель не может отличить одни
от других (пока не проедет пару тысяч
миль). Если предположить, что
вероятность "наколоться" составляет 50%,
складывается впечатление, что
равновесная рыночная цена должна быть по
$2000 за машину; однако по такой цене
никто не будет продавать "сливы", и
рынок заполонят "лимоны". Как только
покупатели это обнаружат, рыночная цена
упадет вообще до $1000.
