Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Новости

Интересы хакеров оказались в шляпах

Ну а представители третьей группы — Grey hats (серые шляпы) — особенно неприятны компаниям. Эти хакеры используют разные способы атак, которые могут подвергнуть компанию риску потери активов, а также подмочить ее репутацию, поскольку открывают бреши в системе безопасности.

Grey hats тайно проникают в корпоративные компьютерные системы, чтобы найти уязвимости в системе безопасности. Затем они решают, уведомить ли компанию и помалкивать, пока ее служба безопасности «залатает» брешь, либо сконфузить компанию, открыто заявив о проблеме.

Дебаты между этими тремя группами о том, какой курс поведения правильнее, никогда не приводили к какому-то внятному итогу. Тем не менее, они продолжились на хакерской конференции Defcon 18 в Лас-Вегасе.

Для компаний же лучшая стратегия для выявления недостатков программного обеспечения тоже не определена. Facebook поощряет попытки своих сотрудников взломать сайт компании. Некоторые приглашают сторонних хакеров для взлома системы. К примеру, Mint.com — сайт о личных финансах, принадлежащий Intuit, — раз в квартал привлекает хакеров для проверки безопасности своих систем.

Другие же надеются, что хакеры их не тронут, чем, вероятно, в какой-то степени руководствовался мобильный оператор AT&T. Из-за бреши в его системе безопасности хакерам удалось раздобыть около 114 тысяч электронных адресов и мобильных телефонов первых покупателей планшетника iPad 3G, в том числе политиков, военных, руководителей различных компаний, а также известных журналистов.

«Многие компании считают, что будет лучше, если хакеры станут действовать открыто», — говорит в интервью газете The New York Times глава оперативной группы службы безопасности антивирусной компании Symantec Дин Тернер (Dean Turner). Он отмечает, что многие компании предпочитают вытаскивать хакеров с темной стороны, фиксируя проблемы и предоставляя им кредит доверия.

На сайтах Salesforce, Facebook, PayPal и Microsoft, например, есть сообщения о поощрении тех, кто ищет уязвимости в системе безопасности. Если хакеры придерживаются ряда правил, компании обязуются не предпринимать никаких юридических действий. Она обещает сотрудничать с хакерами для решения найденной проблемы.

Директор оперативной группы службы безопасности Microsoft Майк Риве (Mike Reavey) говорит, что компания хочет, чтобы хакеры сообщали о недостатках систем без всяких опасений, что у них за это возникнут какие-либо неприятности. «Мы очень серьезно относимся к безопасности, наша цель в том, чтобы в первую очередь обезопасить потребителей наших продуктов. Мы хорошо понимаем, что в одиночку не справимся с этой задачей, поэтому и готовы сотрудничать», — говорит Риве.

Известный хакер-«белошляпник» Дино А. Даи Зови (Dino A. Dai Zovi) рассказал, что ему нравится работать с компаниями. «Находя новые бреши, я не только защищаю людей, которые используют эту систему, но и испытываю волнение и трепет, потому что нахожу что-то новое, о чем никто не знает».

Разумеется, он замотивирован и денежной компенсацией, которую получают охотники за брешами. Дино Даи Зови стал первым хакером, взломавшим ноутбук Mac во время первого состязания Pwn2Own. В ходе этого хакерского соревнования предлагалось взломать полностью пропатченные ноутбуки — обычные версии, продающиеся в розницу. Дино Даи Зови удалось это сделать через уязвимость в браузере Safari. В качестве приза он получил 10 тысяч долларов.

А компания Mozilla, создатель браузера Firefox, и компания Google на прошлой неделе заявили, что будут платить тем, кто найдет бреши в их системах.

Хакеры из Grey hats любят греться в лучах признания, но в основном — стремятся зарабатывать на своих подвигах. Один из таких серошляпников, работающий под псевдонимом Grugq, рассказал в интервью The New York Times, что предпочитает не сообщать компаниям о брешах в их системах безопасности. « Если я расскажу Microsoft о ее бреши, то получу разве что «золотую зведочку», — шутит Grugq.

Хакеры могут продать или обменять информацию о выявленных ими ошибках в системах безопасности. Такая информация, по словам собеседника газеты, может доходить в цене до 75 тысяч долларов.

Раньше главным продуктом купли-продажи среди хакеров были номера кредитных карт. Теперь, по словам организатора хакерских конференций Джеффа Мосса (Jeff Moss), «серошляпников» больше соблазняет возможность получить доступ к системе, поскольку значение дыр в системах безопасности возросло в разы. «Стоимость уязвимостей систем компаний неуклонно растет. Ценность электронных адресов гораздо выше, чем это было 10 лет назад, и спрос на свежие уязвимости постоянно возрастает», — говорит Мосс.

Некоторые компании стараются сделать так, чтобы Grey hats примкнули к «белошляпникам». Но другие, включая AT&T, продолжают попытки различить тех хакеров, что ищут уязвимости, чтобы сообщить о них компании, с «серошляпниками» с мутными мотивами. Поэтому вместо того, чтобы пытаться работать с ними, компании нападает на них.

Впрочем, как считает соучредитель H4rdw4re Крис Паджет (Chris Paget): «AT&T просто не привыкла иметь дело с такого рода ситуациями. Многие компании не знают как себя вести». Джефф Мосс говорит, что привлечение компанией ФБР в дело с iPad 3G заставило многих хакеров пересмотреть свое отношение к раскрытию компаниям информации об уязвимостях в их системах.

Угроза судебного преследования — не единственная причина, почему в хакерском сообществе пошли волнения. «Белошляпникам» надоело просто так отдавать информацию, они хотят, чтобы их работа тоже оплачивалась.

Автор: Марк Аверин

Новости, истории и события
Смотреть все
Bell Integrator FabricaONE.AI (акционер - ГК Softline) разработал собственное решение для управления API компаний
Новости

Bell Integrator FabricaONE.AI (акционер - ГК Softline) разработал собственное решение для управления API компаний

18.07.2025

Подтверждена совместимость платформ Octo и Test IT («Девелоника», кластер FabricaONE.AI ГК Softline): решения для тестирования ПО работают в связке
Новости

Подтверждена совместимость платформ Octo и Test IT («Девелоника», кластер FabricaONE.AI ГК Softline): решения для тестирования ПО работают в связке

17.07.2025

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) выпустила новую версию Citeck CRM
Новости

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) выпустила новую версию Citeck CRM

17.07.2025

«Инферит ОС» (ГК Softline) и «БПМСофт» подтвердили совместимость ОС «МСВСфера Сервер» 9 и платформы BPMSoft
Новости

«Инферит ОС» (ГК Softline) и «БПМСофт» подтвердили совместимость ОС «МСВСфера Сервер» 9 и платформы BPMSoft

16.07.2025

Международная финансовая организация выбрала систему хранения электронных клиентских досье «Цитрос» компании SL Soft FabricaONE.AI (акционер — ГК Softline)
Новости

Международная финансовая организация выбрала систему хранения электронных клиентских досье «Цитрос» компании SL Soft FabricaONE.AI (акционер — ГК Softline)

16.07.2025

«Инферит» (ГК Softline) сообщает о включении ноутбука INFERIT Mercury в реестр отечественной продукции Минпромторга
Новости

«Инферит» (ГК Softline) сообщает о включении ноутбука INFERIT Mercury в реестр отечественной продукции Минпромторга

15.07.2025

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представила интеллектуальный сервис нормализации НСИ для корпоративных систем
Новости

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представила интеллектуальный сервис нормализации НСИ для корпоративных систем

14.07.2025

ГК Softline и компания TData стали партнерами
Новости

ГК Softline и компания TData стали партнерами

14.07.2025

«Инферит» (ГК Softline) и Orion soft подтвердили совместимость виртуализации zVirt с сервером и СХД INFERIT
Новости

«Инферит» (ГК Softline) и Orion soft подтвердили совместимость виртуализации zVirt с сервером и СХД INFERIT

11.07.2025

ПАО «Софтлайн» объявляет о приобретении свыше 1 миллиона акций Компании на Московской бирже в рамках обратного выкупа
Новости

ПАО «Софтлайн» объявляет о приобретении свыше 1 миллиона акций Компании на Московской бирже в рамках обратного выкупа

11.07.2025

Внеочередное общее собрание акционеров ПАО «Софтлайн» состоится 14 августа 2025 года с целью принятия решений, повышающих качество корпоративного управления Компании
Новости

Внеочередное общее собрание акционеров ПАО «Софтлайн» состоится 14 августа 2025 года с целью принятия решений, повышающих качество корпоративного управления Компании

10.07.2025

«Инферит» (ГК Softline) подтвердил совместимость операционной системы «МСВСфера АРМ» 9 и семейства офисных приложений «Р7-Офис»
Новости

«Инферит» (ГК Softline) подтвердил совместимость операционной системы «МСВСфера АРМ» 9 и семейства офисных приложений «Р7-Офис»

10.07.2025

«Инферит» (ГК Softline) выпустил новую версию платформы для управления подписками BillogicPlatform
Новости

«Инферит» (ГК Softline) выпустил новую версию платформы для управления подписками BillogicPlatform

09.07.2025

ПАО «Софтлайн» объявляет о промежуточных результатах обратного выкупа и подтверждает намерение продолжать покупки акций Компании на Московской бирже
Новости

ПАО «Софтлайн» объявляет о промежуточных результатах обратного выкупа и подтверждает намерение продолжать покупки акций Компании на Московской бирже

08.07.2025

«РЖД-Технологии» автоматизируют закупочные процессы с помощью платформы ROBIN от SL Soft FabricaONE.AI (акционер — ГК Softline)
Новости

«РЖД-Технологии» автоматизируют закупочные процессы с помощью платформы ROBIN от SL Soft FabricaONE.AI (акционер — ГК Softline)

08.07.2025

Инициатива по ведению уроков информатики на базе ОС «МСВСфера» от «Инферит» (ГК Softline) в школах вошла в топ-100 лучших идей форума «Сильные идеи для нового времени»
Новости

Инициатива по ведению уроков информатики на базе ОС «МСВСфера» от «Инферит» (ГК Softline) в школах вошла в топ-100 лучших идей форума «Сильные идеи для нового времени»

07.07.2025

«Инферит» (ГК Softline) представил рабочую станцию с жидкостным охлаждением для решения ИИ-задач
Новости

«Инферит» (ГК Softline) представил рабочую станцию с жидкостным охлаждением для решения ИИ-задач

07.07.2025

«Инферит» (ГК Softline) выпустил новый сервер с жидкостным охлаждением для ИИ-задач
Новости

«Инферит» (ГК Softline) выпустил новый сервер с жидкостным охлаждением для ИИ-задач

04.07.2025

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак
Блог

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак

18.07.2025

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием
Блог

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием

17.07.2025

Востребованные ИТ-профессии в 2025 году
Блог

Востребованные ИТ-профессии в 2025 году

15.07.2025

Без паники: как управлять ИТ-инфраструктурой без SCCM
Блог

Без паники: как управлять ИТ-инфраструктурой без SCCM

07.07.2025

ЦОД: основные компоненты, классификация и системы безопасности
Блог

ЦОД: основные компоненты, классификация и системы безопасности

04.07.2025

Критическая информационная инфраструктура: все, что нужно знать о КИИ
Блог

Критическая информационная инфраструктура: все, что нужно знать о КИИ

01.07.2025

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса
Блог

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса

27.06.2025

Технологии умного города: от ИИ до RPA
Блог

Технологии умного города: от ИИ до RPA

25.06.2025

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)
Блог

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)

23.06.2025

Российские облачные сервисы: преимущества, особенности и выбор
Блог

Российские облачные сервисы: преимущества, особенности и выбор

20.06.2025

VPS: что это и когда он необходим бизнесу
Блог

VPS: что это и когда он необходим бизнесу

17.06.2025

Яндекс 360: эволюция решений для цифровой трансформации бизнеса
Блог

Яндекс 360: эволюция решений для цифровой трансформации бизнеса

11.06.2025

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке
Блог

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке

09.06.2025

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»
Блог

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»

04.06.2025

Платежные терминалы: виды, безопасность и тенденции рынка
Блог

Платежные терминалы: виды, безопасность и тенденции рынка

28.05.2025

Российские антивирусы
Блог

Российские антивирусы

26.05.2025

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025
Блог

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025

20.05.2025

Цифровая трансформация: с чего начать
Блог

Цифровая трансформация: с чего начать

15.05.2025

ИТ-решения, кейсы, новости
в Telegram-канале Softline
Подписаться