Дилема хакера

Технології 10 січня 2025

Лід-аукціон легалізує хакерів

Перетворити славу на гроші
Переклад з англійської:

Перед нами дилема. Уявіть собі, що ви комп'ютерний хакер і ви виявили в якійсь програмі дірку, через яку зловмисники могли б красти гроші або навіть персональні дані. Це могло б принести вам шану і повагу, але на хліб їх, звичайно, не намажеш. Отже, яким чином ви б могли продати своє відкриття за найбільш вигідною ціною? Ідея попросити грошей у компанії, яка випускає цей вразливий софт, на перший погляд, може здатися шантажем. Легко припустити, що якщо компанія відмовиться, то ця інформація може потрапити в сумнівні руки. І в той же час, саме така можливість надає цінність цим знанням. Отже, якою ж має бути відповідна ціна і хто має домовлятися?

Як відомо, економіка, подібно до природи, завжди прагне заповнити вакуум і хакерська дилема, в свою чергу, викликала появу цілої індустрії «компаній, що забезпечують безпеку». Ці компанії стали в промислових масштабах закуповувати інформацію про програмні дірки, яку їм постачають хакери (політкоректно іменовані, як «дослідники безпеки»). Потім вони або продають цю інформацію компаніям-виробникам софту, іноді разом з відповідною «заплаткою», або ж використовують її для більш глибокого «дослідження», наприклад для пошуків більш небезпечних - а отже і більш прибуткових - дірок. Подібні фірми прагнуть діяти, як посередники, яким довіряють, з одного боку, хакери, а з іншого, софтверні компанії. Вони прагнуть переконати всіх у тому, що добре знають ринок і призначають найбільш відповідну ціну. Однак, часто, їм не вдається заслужити довіри в жодної зі сторін. Хакери скаржаться, що якщо вони звертаються до подібних компаній, щоб дізнатися, скільки їм готові заплатити за інформацію, то ціна на неї різко падає, оскільки стає відома занадто багатьом співробітникам фірми. Між тим, софтверні ж компанії вважають, що подібні посередники зазвичай пропонують не найважливішу інформацію. Вони підозрюють, що інформація про найнебезпечніші дірки відправляється прямо на чорний ринок.

Пару тижнів тому, з'явився спеціальний сервіс, який повинен зробити торгівлю багами більш прозорою і в той же час, надати хакерам більш вигідні умови. Швейцарська компанія WabiSabiLabi, яка організувала цей сервіс, відрізняється від звичайних компаній з безпеки тим, що вона ні як не бере участі в продажу і купівлі інформації. Замість цього вона пропонує майданчик для укладення подібних угод.

Перетворити славу на гроші

Мисливець за помилками в програмі може використовувати цей сервіс одним з трьох способів. Він може виставити своє відкриття на аукціон, переможець якого отримає виняткові права на цю інформацію. Він може продавати своє відкриття необмеженому числу покупців, але за жорстко встановленою ціною. Або ж він може спробувати продати цю інформацію за певною ціною і одній єдиній компанії, не вдаючись до допомоги аукціону.

Крім торгового майданчика, WabiSabiLabi привніс на ринок ще дві важливі фішки. Перша - це спроба впевнитися в тому, що правом продавати і купувати інформацію володіють тільки легітимні торговці. Друга - в тому, що адміністрація сервісу попередньо перевіряє кожен товар, щоб переконатися, що він відповідає своєму опису.

Керівник WabiSabiLabi, Герман Зампаріоло, каже, що з моменту відкриття сервісу, зареєструвалося кілька сотень хакерів. Тим не менш, на продаж було виставлено всього 4 дірки, і ціни, які пропонували за них покупці, не були дуже високими, можливо, тому що покупці не поспішають, бажаючи спершу поспостерігати, як сервіс покаже себе в дії. Втім, ще 200 багів зараз знаходяться на розгляді і очікують свого допуску на торги.

Якщо подібні лід-аукціони доведуть свою працездатність, їм доведеться ще подолати ряд інших перешкод. Одне з них полягає в тому, що якщо продавець занадто ясно опише суть своєї пропозиції, то покупець зможе самостійно здогадатися про те, де знаходиться ця дірка, і, звичайно, не стане платити. Інше - в тому, що з часом зростає ймовірність того, що дірка буде виявлена ким-небудь ще. Саме тому хакер зацікавлений продати свою знахідку, як можна швидше, а отже, адміністрація повинна розглядати заявку з максимальною швидкістю. Але найбільш, мабуть, серйозною перешкодою для організації лід-аукціону є його легальний статус.

Юрист зі Стенфортського університету, Дженіфер Греник, яка протягом декількох років вивчає цю тему, вважає, що якщо хто-небудь, роздобуде на аукціоні типу, як у WabiSabiLabi, інформацію про дірку в програмі і, скориставшись цим, скоїть злочин, то в аукціону виникнуть великі проблеми. Згідно з кримінальним законодавством США, для визнання провини, необхідно довести, що власники діяли навмисне. Водночас, для задоволення цивільного позову, достатньо лише продемонструвати, що власник виявив недбалість.

У фільмах про дикий захід, хороші ковбої носять білі капелюхи, а чорні капелюхи носять лиходії. У хакерів діє подібна символіка, щоб позначити тих, хто може по праву вважатися представником цеху, і тих, хто лише ганьбить їх славне мистецтво. Відкривши перший лід-аукціон, компанія WabiSabiLabi, ймовірно, може породити третій тип ковбоя - в сірому капелюсі. І поле для хакерської діяльності, скасувавши свої етичні кордони, може злегка розширитися.