Всемирная история компьютерных преступлений, если кто-то сподобится её написать, должна состоять минимум из двух томов. Том первый и самый большой посвящён событиям от момента изобретения цифровых компьютеров и до конца XX века. В этот период взломщики были для правосудия и жертв все на одно лицо. Законы были сыры, нравы дики, и если кого-то ловили за копанием в чужой системе, то по головке не гладили: даже ребята с оформившейся репутацией «белых хакеров», ломавшие из научного интереса и желания помочь (вроде Адриана Ламо), были преследуемы «облагодетельствованными» ими компаниями.
Однако с начала нулевых и до последнего времени писался том второй. В этот период к крупным компаниям и власти пришло понимание, что наказывать security-энтузиастов себе дороже. «Дыры» были, есть и будут, а значит, их продолжат находить, а значит, если нет возможности опубликовать открытие законно, их станут сливать на чёрном рынке, где они гарантированно попадут в плохие руки. Всегда дешевле выкупить уязвимость нулевого дня у первооткрывателя, чем потом устранять последствия её применения. Понять это, признать, было непросто, потребовало десятилетий, но — вроде бы получилось. Так сформировалась мода на выплату призовых денег за обнаружение уязвимостей: нашёл проблему в ИТ-системах компании X, рассказал о ней X же, получил хорошее вознаграждение. К настоящему моменту некоторые крупные компании выплатили таким путём уже миллионы долларов. В частности, такова Facebook — которая станет главным фигурантом сегодняшнего рассказа.
И вот к чему я веду. Буквально в последние год-два обозначилась ещё одна тенденция, требующая написания уже третьего тома нашей воображаемой «Истории». Материала пока мало, но для тех, кто наблюдает за происходящим, его достаточно, чтобы утверждать, что имеет место именно тенденция, а не разрозненные случаи там и сям: всё чаще белым хакерам отказывают в призе за открытые уязвимости. Вот о чём хотелось бы поговорить сегодня — и провести линии в будущее, прикинув, чем это может обернуться. А героями рассказа станут, повторюсь, Facebook, принадлежащий ей сервис Instagram, а также белый хакер Уэсли Вайнберг.
В оригинале история эта чрезвычайно насыщена деталями, поэтому предупреждаю сразу, что я сильно её упрощу. Подробности, если нужно, вы сможете почерпнуть из первоисточников: собственно, публикации в блоге Вайнберга и ответа на неё директора безопасности Facebook Алекса Стамоса. А началось всё с того, что где-то в октябре Уэсли получил наводку от знакомого своего знакомого на открытый для посещения извне служебный сервер Instagram. Однажды уже поимев небольшое вознаграждение от Facebook за сданную уязвимость, Вайнберг решил попытать счастья вновь и занялся изучением этого узла. И меньше чем за неделю добился впечатляющих результатов.
Прежде всего он отыскал уязвимость, позволяющую исполнять на сервере сторонний код. Через неё получил доступ к системным файлам и, в частности, хешированным паролям сотрудников. Натравив на хэши брутфорсер, расшифровал каждый десятый пароль (которые оказались непростительно простыми для системы такого уровня), после чего, раздобыв конфигурационные файлы, пошёл ещё дальше и в конце концов получил, как он сам выражается, ключи от королевства: критически важные криптоключи, сертификаты, права. Попросту говоря, Вайнберг мог делать с Instagram всё что ему заблагорассудится — начиная от чтения пользовательских сообщений и публикации постов от имени любого пользователя, до правки исходников системы и манипуляций с компонентами, составляющими инстаграмовское «облако».
Позже Уэсли утверждал, что не требовал конкретной суммы, но, полагаясь на разрекламированное «Фейсбуком» «миллионное вознаграждение за дыру соответствующего размера», надеялся на адекватную денежную компенсацию за своё открытие. Увы, с того момента, как он сдал находки в Facebook, всё пошло не так. Он не только не получил миллион, но напротив, служба безопасности компании вдруг прекратила с ним всякий контакт и он вынужден был выбивать из них объяснения.
В конце концов ему с товарищем присудили лишь 2500 долларов за первую находку, а всё остальное было забраковано потому что он, якобы, нарушил правила программы поиска уязвимостей, написанные Facebook для желающих попытать силы. Хуже того, его работодателю (со взломом никак не связанному) позвонил лично директор безопасности Facebook Алекс Стамос и описал Вайнберга как алчного скрипт-кидди, которого лучше бы заткнуть, если они не желают, чтобы в ход пошла «тяжёлая артиллерия»: юристы. Для Уэсли это стало последней каплей. Уставший от препирательств, поражённый выходкой «правой руки» Цукерберга, он обнародовал свою работу на прошлой неделе. Тогда и разразился скандал.
Тут необходимо заметить, что аргументы с той и другой стороны не стопроцентно убедительны. Уэсли, например, настаивает на том, что оставался в рамках правил Facebook для белых хакеров и руководствовался здравым смыслом в тех случаях, которые правила не охватывали. Так, он лично принял решение углубить поиск, чтобы выяснить в полной мере, какой вред способен причинить взломщик, двигающийся тем же путём. Однако сам он вреда принципиально не причинял, то есть не совершал ничего, что могло бы спровоцировать даунтайм или навредить пользователям. А вот Стамос и его подчинённые утверждают, что Вайнберг правила всё-таки нарушил: мол, исследователь обязан сдать первую же находку и прекратить дальнейшие поиски (хотя прямым текстом этого требования в правилах нет). Кроме того, с точки зрения правил, не все обнаруженные Вайнбергом слабости могут претендовать на вознаграждение: слабые пароли, например, за уязвимость не считаются — хоть и способны стать причиной проникновения в систему злоумышленников, что названо одним из критериев выплаты приза.
Короче говоря, кто прав, а кто нет — на форумах спорят по сей день. Правила призовой программы Facebook написаны весьма обтекаемо и при желании там можно отыскать что угодно. Но лично мои симпатии на стороне Вайнберга не только по этой причине. Я симпатизирую Уэсли Вайнбергу прежде всего потому, что случай с Instagram стал самым громким, самым ярким примером вышеупомянутой тенденции неоплаты труда белых хакеров. И это страшнее всего. Ведь мы скатываемся туда, откуда вроде бы выбрались: в тёмные века компьютерной безопасности.
Можно ли квалифицировать найденные Вайнбергом слабые места как претендующие на вознаграждение, нельзя ли — не так уж и важно. Куда важнее, что нет никаких сомнений в том, к каким последствиям привело бы их обнаружение настоящими злоумышленниками. Для Instagram и Facebook это обернулось бы многодневным простоем, потерей данных, судебными исками, чудовищным ударом по репутации (они ведь и сами с гордостью причисляют себя к хакерскому племени). Подобное уже случалось в современной истории: вспомните эпопею Sony PS Network. Совокупный ущерб от такой атаки мог составить десятки миллионов долларов: в конце концов, у взломщика оказалась бы полная власть над одним из популярнейших веб-сервисов! И отказать в вознаграждении человеку, который раскопал всё это и преподнёс вам на блюдечке, согласившись месяцами хранить тайну, да ещё и попытаться испортить этому человеку жизнь (а как иначе расценивать звонок работодателю?), это не просто подло, низко, это прежде всего контрпродуктивно!
Что сделают белые хакеры теперь, когда обнаружат очередную большую брешь в защите «Фейсбука»? Сдадут ли они её компании? Навряд ли. С большей вероятностью они теперь продадут её на сером рынке, где вознаграждение гарантировано — такому, например, посреднику как знаменитая Vupen Security. Хорошие уязвимости на сером рынке стоят хороших денег. А может быть её даже сольют на рынке чёрном, где покупатели неизвестны и цели не ясны. И хорошо ещё, если в конце концов «дыра» осядет у спецслужб. А что если у киберкриминала? Что если, не дай бог, у террористов — которым она точно так же интересна! Ведь совсем не трудно придумать сценарий, в котором полный доступ к Instagram позволит спровоцировать масштабную панику: ну, скажем, написать пост от имени известного человека с сообщением о тяжёлой аварии на АЭС…
У меня ещё теплится надежда, что большой бизнес одумается и труд белых хакеров станут оплачивать без проволочек, без лишних рассуждений, отталкиваясь лишь от очевидной тяжести последствий применения находки. Но с каждым днём эта надежда тает. Не только бизнес отчего-то стал неадекватно скуп, но и власть отказала security-энтузиастам в поддержке: правовой защиты у белых хакеров как не было, так и нет, и даже хуже, их душат новыми законами, запрещающими влазить в сложные системы.
Уэсли Вайнбергу, который стал собирательным образом белого хакерства, в сложившейся ситуации остаётся только утереться и идти восвояси. Но думаете в следующий раз он пожелает связываться с официальными лицами по вопросу выплаты призовых? Конечно, нет. И будет абсолютно прав, к сожалению.
P.S. В статье использованы иллюстрации Neil Moralee, Engadget.