Ultimii ani, din punctul de vedere al securităţii IT, au însemnat o bătălie continuă între companiile prezente pe Internet, producătorii de software şi cei care au tot încercat să găsească vulnerabilităţi în astfel de servicii sau programe, pentru a le vinde pe piaţa neagră, către diverse grupuri de interese, concurenţă, agenţii, guverne şi aşa mai departe.
Doar amatorii au mai purtat astfel de lupte cibernetice la nivel de răspândire viruşi (malware), aşa cum se întâmpla în trecut, actorii importanţi de pe scena internaţională a criminalităţii informatice, au încercat mereu să găsească breşe de securitate, fie că vorbim de site-uri sau de programe, pe care să le exploateze chiar ei sau să le vândă altora.
Şi astfel au apărut companiile care se ocupă cu testarea securităţii sistemelor informatice şi raportarea problemelor găsite, ca o necesitate, un strigăt de ajutor din partea dezvoltatorilor de software care aveau nevoie de oameni specializaţi în astfel de probleme, pentru a confirma faptul că aplicaţiile lor sunt lipsite de vulnerabilităţi sau măcar că numărul acestora a fost redus atât de mult, încât descoperirea lor ar fi o muncă extrem de dificilă.
Astfel de companii care testează securitatea site-urilor, programelor, gradul de securizare al sistemelor clienţilor săi, lucrează sub contract cu firmele respective, totul fiind la vedere şi cât se poate de serios.
Cererea fiind atât de mare şi munca pe cât de dificilă, pe atât de aducătoare de venituri importante, au apărut peste noapte foarte multe astfel de firme care testează securitatea IT. Ele sunt formate din tot felul de oameni pasionaţi de IT, de la foşti hackeri care se ocupau cu lucruri nu tocmai legale şi care au ales, într-un final, să se situeze de partea corectă a baricadei, până la programatori care s-au aflat mereu în barca celor care dau o mâna de ajutor în lupta împotriva “băieţilor răi” ai tehnologiei informaţiei.
Pe lângă companiile de profil, au apărut şi cercetători independeţi în acest domeniu, care raportau vulnerabilităţile către firmele respective, iar în schimbul acestora primeau de la unii mulţumiri, de la alţii pixuri şi tricouri (vezi Yahoo), iar din partea altora, sume importante de bani.
Astfel, au luat naştere atât platforme destinate celor care doresc să raporteze vulnerabilităţi în schimbul banilor promişi de companiile care se înscriau pentru a fi testate, precum şi programe destinate atât utilizatorilor de acasă, cât şi firmelor, care ajută la identificarea programelor vulnerabile şi actualizarea acestora, aşa cum este Secunia.
Problema cercetătorilor independenţi din domeniul securităţii IT, este aceea că unii dintre ei chiar dacă au dobândit anumite deprinderi în acest domeniu, unele cu ajutorul uneltelor automate de testare, încă mai au de lucru la partea de comunicarea, deoarece ajutorul lor se poate transforma foarte repede în şantaj, dacă nu sunt atenţi la fel în care îşi trasmit descoperirile către companiile implicate.
Îmi aduc aminte de un caz, disputat pe forumul Secunia, acolo unde un reprezentat al cunoscutei companii anti-malware, SUPERAntiSpyware, se plângea de faptul că se simte şantajat de persoana care îi raportase o vulnerabilitate.
Ce se întâmplase: un băiat găsise o vulnerabilitate în programul SUPERAntiSpyware şi a raportat-o atât către ei, cât şi către Secunia. Asta înseamnă că Secunia PSI, softul de scanare a programelor vulnerabile, pentru utilizatorii de acasă, detecta SUPERAntiSpyware ca fiind vulnerabil. Cei de la SUPERAntiSpyware au alterat codul şi au lansat o actualizare, pentru a nu mai fi catalogat softul lor drept nesigur.
Cel care găsise vulnerabilitatea, a făcut reverse engineering pe patch şi iar a raportat softul ca fiind vulnerabil. Reprezentanţii SUPERAntiSpyware s-au supărat şi au spus că acea vulnerabilitate nu are niciun fel de impact şi, din datele lor, nu a fost exploatată nici măcar o singură dată “in the wild”, deci ei consideră acest lucru ca fiind un şantaj care le consumă timp preţios cu alterarea codului, în loc să se ocupe de lucruri cu adevărat importante, cum ar fi adăugarea de noi programe de spionaj la detecţie.
Astfel de testări fără contract sunt realizate atât de cercetători independenţi, cât şi de companiile din domeniul securităţii IT.
Ţinând cont că am discutat zilele trecute că şi Google, prin Project Zero, vrea să intervină în încercarea de a securiza şi programele altora, nu numai pe cele proprii, îmi vin în minte anumite întrebări şi nelămuriri.
OK, să spunem că toată lumea este condusă numai de intenţii dintre cele mai bune, însă este moral să te joci cu proprietatea altuia, fără ca acesta să-ţi fi dat voie?
Acele vulnerabilităţi, descoperite de tot felul de cercetători, poate dacă aceştia nu le găseau, erau aflate de către “băieţii răi”, dar la fel de posibil era ca acestea să nu fi ieşit niciodată la suprafaţă. Este corect să cauţi probleme, fără să fii angajat de firma respectivă, acolo unde ele nu sunt vizibile de prima dată, ci doar după foarte mult timp petrecut cu cercetarea?
Se ştie că oamenii nu prea se grăbesc atunci când vine vorba de a actualiza un program şi nici nu prea le pasă de securitatea IT. În aceste condiţii, dacă tu descoperi anumite vulnerabilităţi, programul este actualizat, hackerii fac reverse engineering pe patch-uri şi astfel pun mâna pe exploit, cercetarea ta, care era îndreptată înspre a face bine, nu se transformă în ceva negativ?
Aceste întrebări sunt puse pentru a încerca să vedem şi cealaltă parte a lucrurilor, fiindcă ajutorul din partea companiilor de testare a securităţii IT, este oricum evident.