Инструктаж перед боем

Крис Касперски

Спецвыпуск: Хакер, номер #058, стр. 058-018-8

Письмо должно быть максимально кратким. Не нужно вдаваться в какие бы то ни было подробности, а просто взять и написать: "Господа, я нашел в вашей программе критическую уязвимость, о которой хочу сообщить вам, но не знаю, как сделать это корректно. Вот мой телефон (по мылу иностранцы не обсуждают серьезные вопросы), я доступен с такого-то по такое-то время по Гринвичу, разговариваю на таких-то языках". Разговорный английский только приветствуется, но даже если не владеешь им - не беда. Будет нужно - найдут переводчика, если, конечно, упомянуть о языковом барьере заранее :).

С вероятностью, близкой к единице, с тобой действительно свяжутся. Первым отреагирует какой-то манагер. Не теряй время и пошли его :), только культурно. Дальше возможны три варианта развития событий. Если повезет, ты попадешь на инженера, который захочет использовать этот баг как козырь во внутрифирменной борьбе и в обмен на молчание он может даже что-то и заплатить. Но скорее всего, тебе скажут, что "это не дыра, а дизассемблировать программы нехорошо, этим занимаются только хакеры, террористы и другие информационные преступники". Посадить не посадят, но визг, скорее всего, поднимут. Иногда говорят: "Спасибо. Если найдете еще дыры, присылайте".

На всякий случай всю переписку веди через юриста. Даже если он не разбирается в тонкостях компьютерных технологий, доказать отсутствие злого умысла и состава преступления он сумеет. Однако юрист - это расходы. К чему они? Если ты действительно хочешь заработать, лучше слить эту информацию команде тигров или опубликовать в журнале. Тигры - это такие ребята, которые занимаются тестами на проникновение. На вполне легальном основании, кстати. Средняя такса за дыру составляет порядка $50-300. С другой стороны, отечественные журналы платят $100-300 за статью, а зарубежные - еще больше. К тому же публикации - это почетно. В некоторых фирмах за это даже выплачивают небольшую прибавку к зарплате. Навар получается вполне реальный, а к разработчикам уязвимого приложения со своими открытиями лучше никогда не соваться.

Приложений без дырок не существует!

Изначально никто и не думал защищать клиентские приложения, пока не пришел интернет.

Переполнение буфера - одна из часто встречающихся дырок, через которую имеют многие приложения.

Многое проще и лучше реализовать на С++: программисты на С обычно допускают больше ошибок.

Очень часто разрабатывают отличную парадную защиту, но совершенно забывают про другие возможные лазы.

Лезть в криптографию без достаточного опыта - со 100% гарантией допускать критические ошибки в безопасности.

Хотя действительно чаще всего виноваты сами пользователи, которые сидят под админами. Не всегда привилегии получаются только лобовым способом.

Любой драйвер, работающий на нулевом кольце, - отличная возможность получить необходимые привилегии.

Если хочешь сообщить кому-то о найденной ошибке в его системе безопасности, не спеши: люди реагируют адекватно не всегда :).