Зарегистрируйтесь и о Вас узнают потенциальные клиенты!

Интересы хакеров оказались в шляпах

Missing

Интересы хакеров оказались в шляпах

Конференция хакеров Defcon 18. Фото: nateOne/flickr.com

Конференция хакеров Defcon 18. Фото: nateOne/flickr.com

Мир хакеров можно условно разделить на три группы. Одна из них — Black hats (черные шляпы), — они взламывают корпоративные компьютерные системы для развлечения и собственной выгоды: выкрадывая номера кредитных карт и адреса электронной почты, чтобы затем продать другим хакерам или заинтересованным лицам. Яркий пример «черношляпников» — Кевин Митник, взломавший сайты крупных корпораций, в частности, Nokia, Fujitsu и Motorola. Вторая группа — White hats (белые шляпы). Эти помогают компаниям защититься от разрушительной деятельности своих «коллег в черных шляпах». Названия этих двух групп происходят от вестернов, когда опознавательный знак злодея — черная шляпа, а хорошего героя — белая.

Ну а представители третьей группы — Grey hats (серые шляпы) — особенно неприятны компаниям. Эти хакеры используют разные способы атак, которые могут подвергнуть компанию риску потери активов, а также подмочить ее репутацию, поскольку открывают бреши в системе безопасности.

Grey hats тайно проникают в корпоративные компьютерные системы, чтобы найти уязвимости в системе безопасности. Затем они решают, уведомить ли компанию и помалкивать, пока ее служба безопасности «залатает» брешь, либо сконфузить компанию, открыто заявив о проблеме.

Дебаты между этими тремя группами о том, какой курс поведения правильнее, никогда не приводили к какому-то внятному итогу. Тем не менее, они продолжились на хакерской конференции Defcon 18 в Лас-Вегасе.

Для компаний же лучшая стратегия для выявления недостатков программного обеспечения тоже не определена. Facebook поощряет попытки своих сотрудников взломать сайт компании. Некоторые приглашают сторонних хакеров для взлома системы. К примеру, Mint.com — сайт о личных финансах, принадлежащий Intuit, — раз в квартал привлекает хакеров для проверки безопасности своих систем.

Другие же надеются, что хакеры их не тронут, чем, вероятно, в какой-то степени руководствовался мобильный оператор AT&T. Из-за бреши в его системе безопасности хакерам удалось раздобыть около 114 тысяч электронных адресов и мобильных телефонов первых покупателей планшетника iPad 3G, в том числе политиков, военных, руководителей различных компаний, а также известных журналистов.

«Многие компании считают, что будет лучше, если хакеры станут действовать открыто», — говорит в интервью газете The New York Times глава оперативной группы службы безопасности антивирусной компании Symantec Дин Тернер (Dean Turner). Он отмечает, что многие компании предпочитают вытаскивать хакеров с темной стороны, фиксируя проблемы и предоставляя им кредит доверия.

На сайтах Salesforce, Facebook, PayPal и Microsoft, например, есть сообщения о поощрении тех, кто ищет уязвимости в системе безопасности. Если хакеры придерживаются ряда правил, компании обязуются не предпринимать никаких юридических действий. Она обещает сотрудничать с хакерами для решения найденной проблемы.

Директор оперативной группы службы безопасности Microsoft Майк Риве (Mike Reavey) говорит, что компания хочет, чтобы хакеры сообщали о недостатках систем без всяких опасений, что у них за это возникнут какие-либо неприятности. «Мы очень серьезно относимся к безопасности, наша цель в том, чтобы в первую очередь обезопасить потребителей наших продуктов. Мы хорошо понимаем, что в одиночку не справимся с этой задачей, поэтому и готовы сотрудничать», — говорит Риве.

Известный хакер-«белошляпник» Дино А. Даи Зови (Dino A. Dai Zovi) рассказал, что ему нравится работать с компаниями. «Находя новые бреши, я не только защищаю людей, которые используют эту систему, но и испытываю волнение и трепет, потому что нахожу что-то новое, о чем никто не знает».

Разумеется, он замотивирован и денежной компенсацией, которую получают охотники за брешами. Дино Даи Зови стал первым хакером, взломавшим ноутбук Mac во время первого состязания Pwn2Own. В ходе этого хакерского соревнования предлагалось взломать полностью пропатченные ноутбуки — обычные версии, продающиеся в розницу. Дино Даи Зови удалось это сделать через уязвимость в браузере Safari. В качестве приза он получил 10 тысяч долларов.

А компания Mozilla, создатель браузера Firefox, и компания Google на прошлой неделе заявили, что будут платить тем, кто найдет бреши в их системах.

Хакеры из Grey hats любят греться в лучах признания, но в основном — стремятся зарабатывать на своих подвигах. Один из таких серошляпников, работающий под псевдонимом Grugq, рассказал в интервью The New York Times, что предпочитает не сообщать компаниям о брешах в их системах безопасности. « Если я расскажу Microsoft о ее бреши, то получу разве что «золотую зведочку», — шутит Grugq.

Хакеры могут продать или обменять информацию о выявленных ими ошибках в системах безопасности. Такая информация, по словам собеседника газеты, может доходить в цене до 75 тысяч долларов.

Раньше главным продуктом купли-продажи среди хакеров были номера кредитных карт. Теперь, по словам организатора хакерских конференций Джеффа Мосса (Jeff Moss), «серошляпников» больше соблазняет возможность получить доступ к системе, поскольку значение дыр в системах безопасности возросло в разы. «Стоимость уязвимостей систем компаний неуклонно растет. Ценность электронных адресов гораздо выше, чем это было 10 лет назад, и спрос на свежие уязвимости постоянно возрастает», — говорит Мосс.

Некоторые компании стараются сделать так, чтобы Grey hats примкнули к «белошляпникам». Но другие, включая AT&T, продолжают попытки различить тех хакеров, что ищут уязвимости, чтобы сообщить о них компании, с «серошляпниками» с мутными мотивами. Поэтому вместо того, чтобы пытаться работать с ними, компании нападает на них.

Впрочем, как считает соучредитель H4rdw4re Крис Паджет (Chris Paget): «AT&T просто не привыкла иметь дело с такого рода ситуациями. Многие компании не знают как себя вести». Джефф Мосс говорит, что привлечение компанией ФБР в дело с iPad 3G заставило многих хакеров пересмотреть свое отношение к раскрытию компаниям информации об уязвимостях в их системах.

Угроза судебного преследования — не единственная причина, почему в хакерском сообществе пошли волнения. «Белошляпникам» надоело просто так отдавать информацию, они хотят, чтобы их работа тоже оплачивалась.

Разделы: Hi-Tech, IT, безопасность и хакеры

Дата: 26 июля 2010, понедельник 23:16

Ваша компания

Зарегистрируйтесь и о Вас узнают потенциальные клиенты!
Cообщить о неточности
Карта сайта →
Финансы
Разделили бизнес, а налоговая попыталась сложить его обратно
Банки
Лизинг
Инвестиции
Страхование
Господдержка
Помощь бизнесу
1. Открыть бизнес
2. Выбор помещения
3. Эффективная реклама
4. Подбор аутсорсинга
5. Господдержка
6. Уплата налогов
7. Поиск кадров
8. Юридическая помощь
Организации
Добавить свою
Новости компаний
Товары и услуги
Добавить товар
Добавить услугу
Тендеры
Выставки
Обучение
Центры проф. обучения
Новости
Hi-Tech
Антикризис
Конфликты
Макроэкономика
Медиа
Металлургия
Недвижимость
Персоналии
Потребрынок
Промышленность
Телеком
Транспорт
ТЭК
Деньги
Персоны
Ахунов Рустем Ринатович
Андреев Александр Вадимович
О портале
Политика обработки персональных данных
Возможности сайта
Реклама на сайте
Контактная информация
Курсы мировых валют
Биржевые индексы
Вклады
Карта Уфы
ГОСТы
Ваш кабинет
Зарегистрируйтесь и о Вас узнают потенциальные клиенты!
© 2009—2024  Единый республиканский бизнес-портал
О портале | Контактная информация | Реклама на портале | Правила пользования |
Сделано в «Техинформ» Уфа
Все права принадлежат КП «Респект»