Rosnące nagrody oferowane osobom wyłapującym luki w oprogramowaniu stwarzają zagrożenie narodzenia się nowego, niebezpiecznego trendu w kulturze, tak twierdzi ten, jeden z najbardziej znanych „łowców błędów” pracujący w firmie Context Information Security.

Jako badacz, na co dzień zajmujący się analizami bezpieczeństwa aplikacji, w październiku 2013 roku został nagrodzony pierwszą w historii, ufundowaną przez Microsoft nagrodą za informacje o poważnych błędach w oprogramowaniu tej firmy. Nagroda ta wyniosła aż 100 tysięcy USD. Dlatego niektórych może dziwić jego krytyczne podejście do tego typu inicjatyw, bo kto jak kto, ale właśnie on powinien sprzyjać idei płacenia za tego rodzaju usługi, niż wyrażać się o nich w sposób sceptyczny. Ale James Farshaw wyraźnie ujawnia swoje wątpliwości, co do stosowanie tego typu praktyk.

Zobacz również:

• Klucze passkey zapewniają bezpieczeństwo ponad połowie kont Google

Jego zdaniem widać coraz bardziej wyraźną tendencję do udostępniania produktów przez firmy wytwarzające oprogramowanie osobom zawodowo zajmującym się wyszukiwaniem luk lub tzw. wolnym strzelcom, którzy wyłapują błędy i sprzedają zebrane skrzętnie informacje o słabościach zabezpieczeń.

W efekcie rosną też ceny ofert za takie usługi. „A niektóre z osób zajmujących się wyszukiwaniem luk nie cofną się przed niczym i próbują szantażować producentów oprogramowania by tylko dostać żądane wynagrodzenie” mówi James Farshaw.

Pomysł na fundowanie nagród za wyłapanie błędów w oprogramowaniu pojawił się dziesięć lat temu w bardzo kontrowersyjnych okolicznościach, gdy firmy takie, jak TippingPoint (obecnie należy do HP) i iDefense zdecydowały się zapłacić niezależnym programistom (najprawdopodobniej działającym niezgodnie z prawem hakerom) za informacje o poważnych lukach w bezpieczeństwie niektórych aplikacji. Mimo początkowej niechęci do tego typu praktyk, zaczęli je stosować również znani producenci oprogramowania jak Mozilla, Google lub Microsoft tworząc specjalne fundusze na ten cel.

Przez lata było oczywistym, że taka działalnością zajmowali się cyberprzestępcy lub hakerzy działający na granicy prawa, którzy zaczęli nakręcać tego typu rynek, widząc nową możliwość uzyskania dochodów. I nikt nie zwracał na to szczególnej uwagi, do czasu kiedy wyszło na jaw, że ich klientami są również przedstawiciele instytucji rządowych niektórych państw.

Czasami producenci próbują określić cenniki opłat za wykrycie błędów w ich oprogramowaniu, ale ich upublicznienie jest niekorzystne bo powoduje dyskusje na temat polityki płac firmy, która może zaszkodzić jej reputacji.

Dobrym przykładem może być firma Yahoo, która swego czasu zaoferowała podkoszulki o wartości 12 USD za ujawnienie poważnych luk w jej oprogramowaniu. Wywołało to kpiny i nieprzychylne firmie komentarze. W efekcie Yahoo wycofała się z tego pomysłu i, jako jedna z ostatnich dużych firm, utworzyła specjalny program nagród dla badaczy wyłapujących błędy w jej oprogramowaniu, oferując do 15 tys. USD za ujawnienie poważnej luki.

Obecnie można stwierdzić, że nastąpił moment przełomowy. Takie płatności stały się zasadą, a nie wyjątkiem, a wykrywanie luk w oprogramowaniu nowym segmentem rynku.

Pojawiają się pomysły by wprowadzić regulacje prawne dotyczące odpowiedzialności producenta za jakość i bezpieczeństwo oprogramowania. James Forshaw uważa, że jest to zła koncepcja, bo sprawi, iż podejmowanie ryzyka związanego z opracowywaniem innowacyjnych rozwiązań stanie się nieopłacalne.

Duża liczba wad i luk w oprogramowaniu jest związana zarówno z wprowadzeniem zupełnie nowych aplikacji lub systemów, jak i niedostateczną kontrolą jego jakości. Formalnie można tu argumentować, że producenci sami powinni dbać o jakość i bezpieczeństwo ich oprogramowania kontrolując je w całym cyklu życia i korzystając z narzędzi testujących. Dla wielu mniejszych firm jest to jednak rozwiązanie zbyt złożone i kosztowne, a oprócz tego są one pod presją czasu i zmieniającego się popytu, który każą wprowadzać nowe produkty tak szybko jak tylko jest to możliwe. Ale trzeba też przyznać, że bezpieczeństwo nie jest głównym priorytetem w strategii większości firm. “Projektowanie aplikacji od podstaw z uwzględnieniem zasad bezpieczeństwa to dobra zasada, ale idealistyczna” uważa James Forshaw.

Pojawił się ostatnio pomysł by stworzyć globalny, współfinansowany przez instytucje rządowe, program zakupu informacji o lukach w oprogramowaniu zanim trafią one w ręce cyberprzestępców. Zaproponował to dr Stefan Frei z firmy NSS Labs, argumentując, że według jego obliczeń średnia liczba luk typu zero-day które znają tylko cyberprzestępcy cały czas utrzymuje się na poziomie około 100. Jest to więc bardzo poważne zagrożenie bezpieczeństwa zarówno dla firm, organizacji rządowych, jak i użytkowników internetu.

Wszystkie firmowe programy zakupu informacji o lukach razem wzięte nie są w stanie skutecznie poradzić sobie z tym problemem, zauważa Stefan Frei.

“Niestety liczba wciąż wykrywanych, poważnych luk bezpieczeństwa jest duża i koszty takiego programu byłyby ogromne, a jego skuteczność trudna do oceny” uważa James Forshaw sceptycznie podchodzący do tego pomysłu.

Nawet gdyby udało się stworzyć takie repozytorium luk przy współpracy przemysłu software’owego i instytucji takich jak narodowe instytuty CERT, to czy informacje o lukach nie będą wykorzystywane przez instytucje rządowe do zadań o charakterze cyberwojennym? Wydaje się to bardzo prawdopodobne, sądzi James Forshaw.

Na razie, przyszłość firmowych programów zakupu informacji o lukach i rozwijającego się nowego segmentu rynku handlu nimi, jest wciąż niejasna.