Специалисты по безопасности помогают разработчикам эксплойт-паков

Специалисты по информационной безопасности из компании iSec Partners провели исследование рынка разработки эксплойт-пакоов Exploit Inteligence Project. Они тщательно изучили, как создаются подобные программы и, главное, кто является поставщиков эксплойтов для них. Выводы кто-то назовёт сенсационными, а кто-то посчитает естественным результатом разделения труда в программистском андеграунде.

Итак, авторы исследования пришли к выводу, что эксплойт-паки не являются источником распространения ни одного 0day-эксплойта в последнее время. Более того, в эти наборы включаются только хорошо задокументированные, качественные и надёжные эксплойты.

Спрашивается, откуда же разработчики эксплойт-паков берут эксплойты для своих коммерческих разработок? Ответ: из открытых источников. Значительную часть работы для злоумышленников делают «белые шляпы», известные специалисты по безопасности, которые в ежедневном режиме публикуют в открытом доступе свежие эксплойты для различных программ. Создателям Blackhole и подобных программ остаётся только отфильтровать их и выбрать самые опасные и перспективные.

Это действительно удивительный вывод. По информации из свежего отчёта Sophos Security Threat Report 2013, на сегодняшний день их используют для проведения абсолютного большинства веб-атак.

Можно сделать парадоксальный вывод, что известные специалисты и пентестеры своими руками делают самую трудную работу. Публикуя 0day-уязвимости в открытом доступе, они помогают зарабатывать деньги создателям эксплойт-паков. Плохо это или хорошо — спор на эту тему специалисты ведут уже давно, и общее мнение склоняется к тому, что кроме полного раскрытия информации нет более эффективного способа заставить производителя устранить уязвимости в своём программном обеспечении.

Слайды с результатами Exploit Inteligence Project можно скачать здесь: http://trailofbits.com/resources/exploit_intelligence_project_2_slides.pdf