Новые королевы драмы

В этот осенний день можно порассуждать о том, что есть «этичность» хакера в наше время. Да, тема не техническая, но важная, ведь в первую очередь мы люди, а все остальное потом. Ну и конечно же, все написанное — просто IMHO и рефлексия.

Наверняка все слышали историю про очень «этичного» хакера из Палестины: он молодец, он потратил время и нашел вполне себе стандартную ошибку в Facebook. Все бы хорошо, но он не смог толково написать репорт команде фейсбука, в результате чего получил ответ, что, мол, это не бага. Он попробовал еще раз и опять не смог объяснить. Бывает. Но нет, вместо того, чтобы написать еще одно письмо с подробным описанием угрозы, он начал демонстративно использовать эту ЧУДОВИЩНО опасную уязвимость (постить на стене у любого пользователя, даже у не друга... ну ты понял, мы все умрем), пытаясь поднять свое ЧСВ.

Этично? Даже если фейсбук затупил, это не значит, что надо устраивать порнографию из-за примитивного бага, но нет: ЧСВ и жажда халявных денежек заставили выбить максимальный профит из ситуации. Особенно смешно, что в итоге сообщество бросилось защищать парня. Эта история лишний раз показывает, что планка ценностей сильно изменила свой уровень и ориентацию.

КОГДА Я БЫЛ МОЛОД

Во времена, когда свирепствовала IIS UNICODE и WinNuke ООВ, я не думал об И Б как индустрии, о том, что это может приносить деньги (легально или нет), пиар и прочее. В отличие от того, что мы имеем сейчас, рука закона не была сильна в интернете (и сейчас не во всех странах она сильна, но все же прогресс заметен). И в то время основной мотивацией была не жажда выгоды, а возможности, энтузиазм, цели и моральные ценности. Если тебе хотелось кардить и ты считал, что воровать «электронные деньги» — это ОК, то ты это делал. Кого-то ловили, но большинство нет. Если считал, что дампить пароли от dial-up, используя незакрытые шары или SubSeven с BackOffice, — это ОК, то ты это делал. Особенно учитывая, что дампить пароли можно было не у соседа, а, например, в США, у пользователей с «роумингом», и использовать эти данные в Питере, имея локальный номер пула х25 какого-нибудь «Спринта». То же самое с популярной дефейс-сценой.

Команды конкурировали друг с другом за количество дефейсов, за популярность взломанного ресурса и даже за красоту и стиль:).

Причины были разные: политика, фан, выгода, кто-то добывал деньги — спамом, продажей виагры и викодина, внедряя баннеры партнерки на взломанные ресурсы. Технически мир не сильно изменился, кабельная продукция до сих пор актуальна. Да, некоторые умники говорят, что вот тут кибервойна и APT. Но те же APT и операции под заказ ка-кого-либо государства выполнялись и тогда, хотя их размах и влияние были несколько меньше уровнем. Но в остальном было все то, что есть и сейчас, — вирусы, трояны, эксплойты. Зато в этике изменения гораздо более заметны. Изменилось само понятие, и интерпретация стала крайне гибкой.

ЧТО ПОМЕНЯЛОСЬ?

Когда что-то становится популярным и востребованным, то возникает нехватка кадров и при этом снижается входной порог. Открываются двери для тех, кто ведется на моду, кажущуюся простоту дела, высокие доходы. И тут начинаются интересные вещи.

Возьмем классику: сделать дефейс с красивой картинкой и вежливым текстом, мол, админ, напортачил ты тут, так что вот тебе картинка на главной странице, но ты не волнуйся, мы бэкап index.html сделали, а вот тебе мой email, пиши, скажу, в чем бага была (или сам по логам смотри)! Раньше такой ход в отношении мелкого сайта для узкого круга посетителей был... хмм... почти этичным и красивым ходом, с примесью романтизма.

Где тут этика? Только в поведении: если это мелкий бизнес или персональный проект, то никакого ущерба репутации и прочих рисков нет. Да даже если это банк — только CISO и консультанты ИБ верят, что от дефейса страницы банка будет ущерб репутации. Если и будет, то маленький и недолгий. Посмотрите на громкие взломы — Skype, Linkedln и многие другие. Это уже не просто дефейс, и ущерб для таких компаний более чувствителен, ведь затрагивает всех пользователей сразу. И что? Абсолютно ничего. Ерунда эта ваша ИБ!

Но консультантов, менеджеров и CISO понять можно — им нужна работа, а значит, надо сеять страх и продавать услуги. И многие начинают тупо врать и даже не хотят понимать, что это преувеличенная «не совсем правда». Многие доклады, даже с Black Hat, многие отчеты об уязвимостях и «исследования» очень и очень преувеличены и раздуты.

Но почему я заговорил об этом? Найти проблему и описать ее — это нормально, но начинать поднимать шум ради рекламы — уже нет. И это тенденция. Мне часто приходят репорты об уязвимостях и возможных атаках типа XSS/CSRF/ ClickJacking, в которых так называемые «этичные» хакеры говорят, что это MEGA_ULTRA_HIGH_CRITICAL OWASP ТОР-10 уязвимость, и страшно довольны :). После того как их добавят на стену славы, они начинают устраиваться на работу, подавая эти «стены славы» как пруф, что они мегакруты. Это к вопросу о пороге вхождения. Если раньше хакеры вылуплялись из программистов и админов, людей, которые понимали, как можно использовать систему, программу нестандартно, то теперь рулит шаблонизация: вставь кавычку, напиши alert(1). А это уже немного не то...

NOMOREFREEBUGS

Я понимаю, что за работу надо платить, но именно тут и зарыта странная собака: многие не просят никого искать баги, то есть, выполняя добровольную работу, что-то за нее требовать и искать уважения за умение вставлять кавычки — это неэтично :). Уважение и респекты ресерчер получает не за то, что нашел, куда впихнуть кавычку, а за то, что с чистой душой сдал ее вендору, потому что не хочет, чтобы этот проект был дырявым. Многие вендоры поощряют этот подход через Bug Bounty программы, но ценится именно не рыночное отношение, а человеческое и то, что обе стороны могут получить профит и остаться друзьями. Например, самый популярный коммент в блогах на тему недовольства поведением вендора — «Лучше бы на черном рынке продал!» Ну что ж, о какой этичности тут речь... Умеешь искать уязвимости и хочешь за это деньги — иди в «эксперты по анализу защищенности веб-приложений на наличие XSS». Кроме того, те же баг баунти: читай оферту — ты знаешь, что тебя ждет, и, даже если вендор залажал или не понял тебя (всякое может случиться), постарайся быть человеком, а не строить наивные выводы о мнимых причинах возникшей проблемы :).

Совсем по-другому обстоит дело на рынке О-day для браузеров и прочих клиент-сайд-плагинов. Там создать боевой эксплойт достаточно трудоемко, и все меньше и меньше людей делают это ради фана и идеи. Учитывая популяризацию «производства кибероружия», такая работа становится действительно высокооплачиваемой, и ни о какой этике речь уже не идет — это бизнес. Хотя и тут есть люди, которые просто могут найти уязвимость, не тратя силы на эксплойт, помочь вендору закрыть проблему ради просто человеческого отношения. Но тут и вендорам надо понимать: игнорировать проблему уязвимостей в их продукте или надеяться на халяву от людей, которые потратили силы и сделали работу, — неэтично. Если человек создал эксплойт под ваш продукт — он может им распорядиться по-своему. Именно поэтому многие и делают Bug Bounty программы: даже поиск тупых XSS — это какая-никакая, но работа, и люди достойны как минимум благодарности за то, что помогли снизить процент ваших косяков и в продакшне.

ЗАЧЕМ Я ВСЕ ЭТО ПИСАЛ?

Если вынести за скобки проблему творческого кризиса, писал я это потому, что эту тему принято считать мелкой, не технической, очевидной. Но не хотелось бы, чтобы уровень адекватности падал. К сожалению, чем популярнее тема ИБ, тем это чаще происходит. Я понимаю, ныть не дело, но если реально оценивать хотя бы себя и свою работу и сопоставить это со своими этическими нормами и с тем, что происходит вокруг, то можно понять нечто полезное и как-то себя улучшить. Вот этого я нам всем и желаю!