Статья только в электронной версии журнала
БЕЗОПАСНОСТЬ: ИССЛЕДОВАНИЯ
Создается организация исследователей уязвимостей
В последние годы чрезвычайно выросло число активных исследователей проблем безопасности, и для многих из них эта работа стала не только хобби, но и профессией.
Поскольку это стихийное движение нуждается в определенном структурировании, а новый род занятий - в легитимном статусе, было предложено организовать нечто вроде профессиональной ассоциации исследователей безопасности, которая будет пропагандировать их деятельность и защищать юридические и экономические интересы своих членов. План пока находится на сугубо предварительной стадии. Еще нет никаких официальных проектов, однако идею живо обсуждают в широких кругах сообщества.
Автор предложения - Тор Лархолм, старший исследователь безопасности из фирмы Pivx Solutions. Его работы, особенно связанные с изучением Microsoft Internet Explorer, хорошо известны специалистам. В июне он начал обсуждать свой план с коллегами, а после этого провел консультации с рядом руководителей компаний.
Недавно Лархолм направил в список рассылки BugTraq сообщение с детальным изложением своих соображений о создании организации. По его словам, практически все, с кем он разговаривал, единодушно одобрили идею организационного объединения исследователей.
"За последний месяц, - рассказал Лархолм, - я понял, что вопрос состоит не в самой необходимости объединения исследователей безопасности, а в его форме и в том, кто будет поддерживать организацию. Сейчас главное - подобрать профессионалов, готовых уделить этому делу свое время. Реакция на мое послание более чем положительная, многие люди предлагают свою помощь, и я очень надеюсь, что в ближайшие месяцы дело начнет налаживаться".
В основе проекта Лархолма - учреждение организации, охватывающей профессионалов и любителей, которые занимаются исследованиями уязвимостей. Она будет помогать своим членам устанавливать контакты с производителями, проводить консультации и осуществлять рецензирование исследований до их публикации, лоббировать вопросы безопасности в Вашингтоне и всячески поддерживать всех участников движения.
Идея объединения исследователей не нова, и некоторые мысли, которыми поделился Лархолм, в последние годы высказывались на различных форумах. Однако прошлые попытки объединения преследовали иные цели и часто по тем или иным причинам кончались неудачей. Одной из таких инициатив является портал Sardonix Security Portal, созданный для независимых исследователей с целью аудита исходного кода на предмет проблем безопасности.
Как написал в своем ответе на предложение Лархолма главный научный сотрудник фирмы Immunix Криспин Коуэн, "здесь многое зависит от нюансов. Sardonix нацелен на изменение модели исследований с "найди дефект - выиграй приз!" на "исследуй ПО, сообщи о результатах и завоюй репутацию известного специалиста". Для администраторов гораздо полезнее иметь комплект проверенного ПО, чем выслушивать бесконечный поток частных рекомендаций. Но ввиду отсутствия реакции со стороны исследователей безопасности я делаю вывод, что мотив "найди дефект - выиграй приз!" людям психологически ближе".
Проект Лархолма еще требует проработки ряда деталей, включая уточнение состава членов организации. Исследователей уязвимостей можно разделить на две главные группы: профессионалов, как сам Лархолм и штатные исследователи фирм @Stake , eEye Digital Security и подобных им компаний, и независимых исследователей, занимающихся этой деятельностью по личной инициативе.
Однако есть еще и взломщики, отыскивающие уязвимости для использования в злонамеренных целях. Поэтому требуется решить проблему, надо ли закрыть допуск в организацию хакеров и как это реально сделать.
Еще один вопрос состоит в том, захотят ли производители ПО активно взаимодействовать с такой группой. Сам Лархолм верит, что все эти проблемы можно преодолеть.