Заметая инфобез под ковер: как крупные сервисы проявляют безразличие к уязвимостям

Моя страсть — информационная безопасность. Так сложилось, что внутри меня жива идея сделать мир лучше. Верю в доброе и светлое и головоломки люблю прикладные. Но когда я еще работал ИБ-специалистом, в глаза бросалось то, как неохотно идет бизнес на контакт с представителями сектора ИБ, пока, конечно, что-то непредвиденное не случается. Вот постфактум идет отлично.

Хотелось бы рассказать об острейшей проблеме, весьма характерной для ИБ. Размер проблемы сложно переоценить. Компании почему-то считают, что можно рисковать миллиардами долларов убытков и своей репутацией перед миллионами клиентов по всему миру. Другим словом, как парадокс, я никак сложившуюся ситуацию назвать не могу. Бизнес всегда декларирует открытость, гибкость в решении проблем. Парадокс в том, как сильно такие заявления разнятся с действительностью.

Часть I. Отрицание

Речь идет о сообщениях, которые энтузиасты делают в адрес компаний, находя в их IT-инфраструктуре какие-либо уязвимости. Одна из самых популярных реакций на такие сообщения — отрицание. Если случился инцидент или найдена уязвимость, самое очевидное — все отрицать. Так компании и поступают. Очень часто они просто отмахиваются: мол, действительно проблема есть, но она незначительная и «вообще, спасибо вам, конечно, но не лезьте».

Например, совсем недавний и показательный случай с WhatsАpp (принадлежит Meta, которая признана в России экстремистской организацией и запрещена). Исследователь Саумьяджит Дас уведомил Meta (признана в России экстремистской организацией и запрещена) об обнаруженной им проблеме через программу Bug Bounty еще 3 июня 2024 года, и 15 июля компания ответила, что об этом уже сообщали другие специалисты и все уже должно быть исправлено.

Однако уязвимость по-прежнему работала в последней версии WhatsApp для Windows. Еще интереснее то, что разработчики WhatsApp сообщили, что не планируют исправлять ситуацию и добавлять Python-скрипты в список файлов, открытие которых блокируется по умолчанию, так как не видят проблемы, и выпуск исправлений не планируется. Дас заявил, что разочарован, считая, что простое добавление расширений в черный список могло бы предотвратить потенциальную эксплуатацию уязвимости.

Или возьмем мой личный кейс с Telegram. Начиналось все с «пишу с воодушевлением письмо в Telegram», а закончилось тем, что получил: «Спасибо, мы уже все исправили». Нет, не исправили, проблема осталась. Так, сначала до меня дошла информация, что в Telegram выявлена новая уязвимость, связанная с загрузкой видеороликов на Android. После того, как я продемонстрировал ее в письме по программе Bug Bounty в Telegram, мне ответили, что они уже получали сообщение об этом ранее и проблемы больше нет. Но я увидел, подтвердил уязвимость и сообщил о проблеме уже после даты, которую указали в Telegram. Однако никого это уже не волнует.

Ситуация знаковая. Компании просто отказываются признавать проблемы и стараются отмахнуться от проблемы, как от назойливой мухи. Нет нужды говорить, что такой подход очевидно ставит под угрозу пользователей, и подобных случаев очень много. Можно отметить и недавнюю новость о проблеме у такого гиганта, как GitHub: любой желающий мог получить доступ к удаленным и закрытым данным репозитория. В GitHub ответили на это в духе «читайте правила» и «у нас все хорошо, это вы не понимаете».

Часть II. Игнорирование

Кроме отрицания, характерная реакция бизнеса — и вовсе ее отсутствие.

Нередко компании полностью или частично игнорируют сообщения даже в тех случаях, когда у них есть программа Bug Bounty. Иногда даже поиск контактов становится проблемой, приходится применять OSINT-практики, часто безрезультатно. Так, в июле специалисты ИБ-компании Eset смогли донести свое сообщение о проблеме до Telegram только со второго раза.

Или (обращусь снова к личному опыту) мой отчет в один из американских банков, который был так же проигнорирован, никакой обратной связи. Согласно информации, найденной в даркнете, в продаже появились доступы к ряду внутренних ресурсов банка, и я посчитал своим долгом проинформировать его представителей, которые ответили в духе «Мы ценим ваше мнение» (автор предоставил Forbes скриншоты переписки).

Другая аналогичная ситуация из собственной практики: сообщил компании (крупнейшей платформе для работы с запросами журналистов в России) о найденной уязвимости, но в ответ получил «Нам это неинтересно». Показательное отношение к вопросам ИБ.

Уже упомянутый исследователь Саумьяджит Дас сообщает ровно о таких же проблемах, добавляя в личном общении с автором еще интересный случай с печальными последствиями: «Мне часто отвечают, что об ошибке сообщалось ранее, или вовсе игнорируют. Например, WazirX (индийская криптовалютная биржа) изначально игнорировал отчеты об уязвимостях от многих исследователей, а теперь такие группы, как Lazarus (известная северокорейская группа хакеров), эксплуатируют эти слабости».

Об этом даже шутят в даркнете. Примечательно, как своим поведением персонал большой компании провоцирует «белых» исследователей поменять сторону. Известны случаи, когда исследователь пришел на даркнет-площадку от бессилия и невозможности связаться с крупным европейским банком, чтобы помочь им разрешить их же проблемы. Абсурд.

Часть III. Героев — под суд

Описанное выше можно считать неплохим исходом. Даже хорошо, если проблема не выйдет на уровень персональных проблем для специалистов. А есть и такие кейсы — например, когда они сообщают о проблемах в больших госкомпаниях, а в качестве благодарности получают обвинения в злом умысле и судебные разбирательства.

Так случилось, например, с автором публикаций на профильном для IT-специалистов ресурсе «Хабр», который обнаружил «дыры» в IT-инфраструктуре РЖД и получил доступ ко внутренней сети РЖД через Wi-Fi сеть «Сапсана».

Черный рынок уязвимостей

Не секрет, что неизвестные ранее уязвимости в софте киберпреступники покупают и продают на черном рынке. Эти уязвимости «нулевого дня» не имеют патчей или исправлений, что делает их чрезвычайно ценными для атакующих. Их стоимость может достигать сотен тысяч, иногда доходя до десятков миллионов долларов в зависимости от их критичности и потенциала нанесения ущерба.

Рынок «в тени» процветает, привлекая как независимых хакеров, так и организованные преступные группы и даже спецслужбы. Купленные уязвимости часто используются для кибершпионажа, саботажа или кражи данных, что создает значительные риски для компаний, правительств и пользователей по всему миру. Недостаток публичной информации о таких уязвимостях делает их чрезвычайно опасными, поскольку они могут оставаться незамеченными и использоваться для атак на протяжении длительного времени.

Покупатели таких уязвимостей часто получают многократную прибыль, нанося ущерб компаниям. Эксплуатация уязвимостей позволяет злоумышленникам проводить успешные атаки, вымогая деньги или похищая ценные данные, что приносит им значительные финансовые выгоды. В этом и заключается суть операций на черном рынке: вложения в покупку информации о проблемах быстро и кратно окупаются за счет прибыли от нанесенного ущерба.

Стоит уточнить, что как раз для реализации такого сценария порог входа на «рынок» фактически нулевой — это проще, чем зарегистрироваться в социальной сети.

Как можно исправить ситуацию

Bug Bounty (программа, с помощью которой сторонние пользователи могут получить признание и вознаграждение за нахождение ошибок на ресурсах, например в соцсетях). Несмотря на то что это уже почти стандарт, начать нужно именно с этого. Программы ответственного раскрытия уже давно существуют как сервис, хотя для них и нужен определенный бюджет, важно понимать, что он сильно меньше тех затрат, которые понесет компания в случае реальной проблемы. Это как профилактика против лечения.

Программы Bug Bounty действительно работают, и все больше компаний интегрируют их. ИБ-специалистов, да и самих хакеров сильно мотивирует не то, как продать найденную дырку в коде на черном рынке, а сдать ее на руки кому следует и получить свое вознаграждение. Все хотят быть белыми и пушистыми.

Игнорирование или преуменьшение значимости таких отчетов может привести к значительным проблемам — утечкам данных и потере доверия пользователей. Это также может отпугнуть исследователей делать сообщения о найденных уязвимостях.

Отсюда простые рекомендации для компаний: принимать и рассматривать каждый отчет всерьез, сотрудничать с исследователями, поддерживать прозрачность в управлении уязвимостями, поощрять и признавать обоснованные отчеты.

Проблемы остаются

Некоторый тренд на улучшение ситуации есть, но проблемы остаются. Несмотря на то что многие организации ценят внешние исследования, специалисты, сообщая об уязвимостях, все еще чувствуют себя недооцененными или игнорируемыми. Бизнесу следует перестать халатно относиться к проблемам ИБ, это корень многих рисков. Признание важности кибербезопасности на всех уровнях организации и серьезное отношение к сообщениям об уязвимостях должны стать приоритетом.

Кроме того, компании должны проводить регулярное обучение сотрудников, чтобы повысить их осведомленность о возможных угрозах и необходимости соблюдения мер безопасности. Создание прозрачных и доступных каналов для обратной связи с ИБ-специалистами и оперативное реагирование на их сообщения укрепит защиту данных и улучшит репутацию компании. Ведь мы живем в цифровую эпоху.

Мнение редакции может не совпадать с точкой зрения автора