Новости / январь 2021
Дырокод: хакеры нашли рекордное число уязвимостей в системе минобороны США

Роман
Кильдюшкин
Анна
Урманцева
11.01.2021

Министерство обороны США оказалось на первом месте по количеству обнаруженных уязвимостей по рейтингу HackerOne. К концу 2020 года ведомство взламывали более 12 тыс. раз, но в рамках контролируемых тестов.

Эксперты уверены, что так Пентагон находит уязвимости и исправляет их. Впрочем, такое количество слабых мест может говорить о слабой защищенности других американских ведомств, считают некоторые специалисты.

Взлом во благо

Министерство обороны США заняло первое место по количеству обнаруженных уязвимостей в рейтинге HackerOne. На конец 2020 года в системах ведомства нашли 12,2 тыс. проблем. Verizon Media (американская компания, производит цифровой контент) идет на втором месте, но с внушительным отставанием — 6,7 тыс. уязвимостей.

HackerOne — это онлайн-платформа, объединяющая организации и пентестеров (название происходит от penetration и test, то есть "проникновение" плюс "проверка"). Они занимаются контролируемым взломом информационных систем. Еще их называют "этичными хакерами": эти люди не пользуются найденными ошибками в корыстных целях, а сообщают о них разработчикам. Пентестеры нужны компаниям для проверки программ и сервисов на наличие ошибок программного кода. Обнаружив их, специалисты получают награду — деньги или баллы.

Пентагон не платит "этичным хакерам". Министерство дает баллы и благодарит активных исследователей в Twitter. Для сравнения: Verizon Media за обнаружение одной ошибки платит в среднем $400–500.

Баллы — тоже серьезный мотиватор, в долгосрочной перспективе они позволяют заработать больше денег за меньшее время, объяснил "Известиям" руководитель российской группы пентестеров, один специалист из которой "взламывал" минобороны США.

— На HackerOne есть приватные программы, которые открываются пентестерам при наличии определенного количества баллов. Такие программы запускают компании, которые по тем или иным причинам не хотят, чтобы их взламывали все подряд. Они хотят ввести ценз по уровню компетенции специалистов, которые будут смотреть их код. Соответственно, появляется смысл зарабатывать баллы. Чем больше их у тебя, тем больше программ ты видишь, — рассказал "Известиям" источник.

При этом в закрытых программах часто платят деньги, заработать их там проще, уточнил он. Ведь в открытой программе участвуют все, то есть велика вероятность, что все ошибки найдут до тебя, пояснил собеседник издания.

Максимальные значения выплат в баг-баунти (системах тестирования и вознаграждений) могут достигать десятков и даже сотен тысяч долларов, отметил эксперт по кибербезопасности "Лаборатории Касперского" Борис Ларин. Для некоторых хакеров поиск уязвимостей — основной источник дохода, добавил он.

Пример, которым не пользуются

Рейтинг HackerOne отражает уровень ответственности организации, а не степень ее уязвимости, считают в комьюнити специалистов по информационной безопасности (ИБ).

— Баг-баунти — это как диагностика здоровья. Чем больше тестов и обследований провел человек, тем больше он о себе знает. Если кто-то регулярно обследуется, это не значит, что он самый больной. Это значит, что он самый информированный, — отметили в пресс-службе HackerOne.

Рейтинг платформы не стоит расценивать как показатель проблем с ИБ в той или иной компании, согласен эксперт "Лаборатории Касперского" Александр Гостев.

— На практике количество уязвимостей на сайте не имеет значения. Достаточно одной, чтобы спровоцировать крупную утечку ценной информации и поставить бизнес на колени, — сказал специалист.

Александр Гостев привел в пример историю с British Airways. В 2018 году уязвимость на сайте авиакомпании привела к утечке платежных данных 380 тыс. клиентов. В результате British Airways получила рекордный штраф в размере £183 млн.

В случае с минобороны США количество обнаруженных ошибок может говорить о проблемах с ИБ в других американских правительственных организациях, полагает независимый исследователь даркнета Олег Бахтадзе-Карнаухов.

— Считаю, уязвимостей и проблем в других ведомствах не меньше, чем в министерстве обороны США. Просто о них еще не говорят, — полагает эксперт.

В любом ведомстве можно найти ошибки, но вопрос в том, кто их ищет и исправляет, добавил Олег Бахтадзе-Карнаухов. Практику минобороны США можно назвать образцовой, считает он.

— Ввиду последних скандалов программы баг-баунти будут запускаться всё большим числом ведомств. Поскольку к ним приходит понимание, что это необходимо при работе в современном киберпространстве, — заключил эксперт.

"Известия" направили запрос в министерство обороны США. На момент публикации ведомство не ответило.

Русские на HackerOne

На третьей строчке рейтинга HackerOne располагается Mail.Ru Group (MRG). За шесть лет участия в программе у IT-гиганта нашли 3,9 тыс. уязвимостей. За каждую из них компания выплатила в среднем по $250–300. Как и в случае с минобороны США, ИБ-специалисты не считают результат MRG зазорным.

— Сам факт присутствия крупной отечественной корпорации в программе по нахождению "багов" похвален, так как это демонстрирует реальное стремление к выявлению и устранению уязвимостей, — сказал начальник отдела информационной безопасности "СерчИнформ" Алексей Дрозд.

Но выплатой вознаграждения исследователям MRG подтверждает наличие проблем с безопасностью в прошлом, считает он. Но вопрос степени "дырявости" компании остается дискуссионным, добавил эксперт.

— Делать вывод о безопасности по количеству найденных по программе вознаграждения недочетов в коде нелогично и непрофессионально. Это говорит лишь об интересе исследователей к продукту и системе мотивации для поиска улучшений кода. Чем больше компания платит за недочеты, тем больше к ней внимания, — заявил представитель MRG Сергей Лучин.

По его же словам, ни одна из обнаруженных в рамках сотрудничества с HackerOne уязвимостей в продуктах MRG не позволила хакерам получить доступ к аккаунтам пользователей.

Первый класс ошибался много раз

В конце прошлого года стало известно о взломе как минимум десяти американских ведомств через уязвимость программы Orion от Solar Winds, писали "Известия" ранее. Это не единственный пример, когда киберпреступники проникли в правительственные организации США.

В 2008 году хакеры получили доступ к секретным данным минобороны Штатов. Год спустя Пентагон столкнулся с новой утечкой: злоумышленники украли данные о новейшем американском истребителе F-35 Joint Strike Fighter. В 2011 году ведомство призналось в еще одном серьезном инциденте: хакеры похитили с компьютеров 24 тыс. секретных файлов. Всё это произошло до выхода Пентагона на HackerOne.

Другие ведомства — не исключение. В 2012 году группировка злоумышленников сообщила о взломе NASA, армии США и ВВС США. В 2015-м несовершеннолетний Кейн Геймбл взломал аккаунты директора ЦРУ Джона Бреннана. В 2016 году этот же хакер выкрал базы данных минюста США.

Это яркие примеры — может показаться, что речь идет о единичных случаях. На деле американские правительственные организации имеют дело с хакерами довольно часто. В 2019 году гражданские агентства федеральной исполнительной власти США сообщили министерству внутренней безопасности о 28,6 тыс. инцидентов, связанных с информационной безопасностью.

Новости из связанных рубрик