США ограничат продажу уязвимостей в ПО из соображений национальной безопасности

Министерство торговли США предложило ввести лицензирование продукции в области защиты компьютерных коммуникаций, сообщает Reuters. Предложение подлежит общественному обсуждению на протяжении двух месяцев и предусматривает ограничение на экспорт ПО для проникновения в системы или сети, приравниваемого к так называемым средствам двойного применения или, другими словами, к оружию. В 2013 г. США наравне с ещё 40 государствами подписали Вассенаарские соглашения. Этот документ включил софт для взлома сетей и, в частности, уязвимостей «нулевого дня» в перечень контролируемых средств с целью ограничить распространение кибер-оружия.

Предложение министерства торговли предусматривает, что под новые условия лицензирования подпадут не только компании и исследователи, занимающиеся разработкой софта в области управления и защиты сетей от взлома, но и, возможно, разработчики гипервизоров, отладчиков и программ для реверс-инжиниринга. Инициатива ведомства, впрочем, не будет касаться исследователей или военных подрядчиков, которые часто продают информацию об уязвимостях «нулевого дня» правительственным учреждениям или производителям ПО в США. В то же время продажи уязвимостей «нулевого дня» без специального разрешения за пределами Соединенных Штатов, Великобритании, Канады, Австралии и Новой Зеландии будут запрещены. К слову, эти страны являются участниками секретной программы по сбору данных Five Eyes. Как ранее заявлял бывший сотрудник австралийской разведки, принимавший участие в этой программе, основная ее задача — сбор политической, дипломатической и экономической информации.

Инициатива вызвала критику со стороны исследователей в области ИТ-безопасности, которые утверждают, что она слишком «обтекаемая» и может воспрепятствовать экспорту легальной продукции, используемой для защиты сетей от хакеров. Глава хорошо известной исследовательской компании в области поиска брешей безопасности Vupen Чауки Бекрар написал в Твиттере, что ужесточение экспортных правил «превратит жизнь американских ИБ-компаний в ад».

«В целом некоторые формы лицензирования или регулирования могут принести пользу, но только не предлагаемая, потенциально она может стать разрушительной для отрасли безопасности», — сказал Reuters Адриэль Десотель, глава компании Netragard, которая занимается тестированием сетей для выявления брешей безопасности.

Другой точки зрения придерживается профессор Суррейского университета и эксперт в области безопасности Алан Вудворд, который видит здесь аналогию с соглашением о распространении наступательных вооружений. «Исследования в этой области никогда не прекращались, тем не менее, это соглашение позволило контролировать их экспорт. — сказал он изданию ZDNet. — Пока не доказано обратное, любые уязвимости „нулевого дня“ можно считать средством доставки вредоносного контента. Это значит, что они автоматически попадают в поле зрения хакеров. Как правило, информация об уязвимостях хранится в секрете, поэтому её можно продать и использовать для взлома инфраструктур. Ну а то, что zero-days — это не оружие, еще не доказано. Значит это оружие». По мнению Десотеля, мысль об лицензировании поставщиков zero-day — здравая. «Это предупредит поставку секретов из США в Иран», — считает он.

Некоторые рыночные наблюдатели полагают, что крупным американским оборонным подрядчикам, которые находят или приобретают информацию о программных уязвимостях с целью их дальнейшей перепродажи спецслужбам, военным или правоохранительных органам, не составит никакого труда воспользоваться услугами адвокатов для получения лицензии на продажу zero-day за рубеж. В то же время ввод экспортных ограничений на продажу программных «слабостей» может подставить под удар небольшие и средние по величине компании, которым, вероятно, придётся отказаться от продаж, отдавая зарубежные рынки на откуп преступникам. «Это может иметь серьезные последствия в отношении проводимых нами исследований в области выявления уязвимостей и защиты наших систем. — сказала эксперт Rand Лилиан Эблон. — Если мы ограничиваем возможности легальных компаний и исследователей, то это означает, что фору получат плохие парни».

По данным NSS Labs, количество уязвимостей нулевого дня на черном рынке растет. Эксперты подсчитали, что число эксплойтов, проданных за один день на черном рынке, в среднем достигает 85. К примеру, стоимость эксплойтов для уязвимостей Windows на черном рынке достигает 250 тыс. долл.

Поисками уязвимостей «нулевого дня» заняты независимые хакеры, однако в большинстве случаев этим занимаются целые фирмы, специализирующиеся на вопросах безопасности. Они анализируют каждое ПО на предмет наличия бреши, позволяющей осуществлять атаки, а затем продают эту информацию. При этом их не интересует, кто окажется покупателем — будь то крупная компания, которая намерена осуществить атаку на своего конкурента, или же иностранное правительство.

Уязвимости в ПО могут быть проданы на черном рынке, но также за них можно получить вознаграждение от технологических компаний. Так, Google, Microsoft, Facebook и Mozilla предлагают специальные вознаграждения за обнаруженные бреши.

По данным Positive Technologies, 78% систем, протестированных в 2014 г., содержали критически опасные уязвимости, возникшие в результате использования устаревших версий ПО. Этот результат заметно хуже, чем годом ранее, когда таких систем было немногим более половины. Практически в каждой информационной системе выявлены уязвимости, связанные с ошибками в коде веб-приложений; более чем в половине компаний это были уязвимости высокой степени риска. Отчет Positive Technologies затронул основные направления ИБ: защиту сетевого периметра, внутренней сети и корпоративных пользователей.