Мораль: в
условиях отсутствия информации у
покупателей рынок подталкивает
производителей к поставке
некачественного товара. Именно это и
происходит с безопасностью: несмотря на
все исследования, пользователь никогда
не может достоверно оценить степень
защищенности того или иного продукта, и
ему приходится полагаться на заявления
производителя. К чему это приводит, мы
уже видим.
Блошиные
рынки
Можно пытаться решить
проблему оценки надежности
экономическими методами. Безопасность
системы может быть оценена через
стоимость новой (zero-day) уязвимости,
найденной для этой системы. Это логично:
чем надежнее система, тем больше людей
ей доверяют, тем эффективнее будет
zero-day-атака и тем дороже информация
для ее осуществления; и наоборот: если
система надежна, нам придется крепко
поработать и потратить много денег,
чтобы ее взломать. Проблема в том, что
открытого легального рынка уязвимостей,
который бы позволял оценивать их
настоящую стоимость, в настоящий момент
практически не существует, и даже не
вполне понятно, каким он должен быть,
чтобы приносить наибольшую пользу
обществу.
Райнер Бёме (Rainer
Bцhme) рассматривает несколько типов
рынков уязвимостей. "Баг-челленджи" (bug
challenges) и "баг-аукционы" (bug
auctions) относятся к самым простым и
известным видам. Например, Дональд Кнут
обещает выплачивать за каждую найденную
ошибку в издательской системе TeX
некоторую сумму, увеличивающуюся со
временем. Аналогично Mozilla Foundation
платит исследователям за уязвимости,
найденные в браузере Firefox. В
зависимости от заявленной цены
исследователь может предпочесть продать
уязвимость вендорам, вместо того чтобы
использовать ее для создания эксплойта.
Для этого, однако, цена должна быть
достаточно большой и увеличиваться с
ростом количества установок и внедрений.
"Несмотря на возможность
денежного выражения стоимости эксплойта,
я бы не назвал этот подход прекрасным
рынком уязвимостей, поскольку
соответствующий рыночный механизм
обладает множеством проблем, - пишет
Бёме. - Цена на этом рынке определяется
покупателем (то есть вендором ПО. -
И.Щ.), а не является результатом
договоренности". В результате она
представляет собой только нижнюю оценку,
и использовать ее затруднительно.
Еще
один вариант: "брокеры уязвимостей" -
здесь речь идет о компаниях, скупающих
информацию о дырах в безопасности для ее
перепродажи "хорошим людям" (вендорам
ПО, корпоративным пользователям и т.
д.). Такие компании существуют -
например, iDefense, TippingPoint,
Digital Armaments и др. С точки зрения
общественной пользы, этот подход тоже
далек от идеала - потому, в частности,
что не сообщает никакой информации (о
ценах уязвимостей и надежности
продуктов) широкой публике. К тому же он
вызывает соблазн у "плохих людей"
(преступности) получить доступ к
упомянутой информации.
