Ars Technica: Никто не должен говорить об обнаруженных уязвимостях нулевого дня

Не секрет, что уязвимости нулевого дня эксплуатируются как преступниками, так и правительственными структурами. На так называемом рынке критических брешей по высокой цене продаются опасные уязвимости до тех пор, пока ими не воспользуются хакеры в масштабных кибератаках, или пока ИБ-исследователи их не обнаружат.

Рынок уязвимостей нулевого дня был создан из-за огромного желания правительств обладать опасным кибероружием и из-за давления на корпоративные предприятия. ИБ-эксперты, которым удалось обнаружить информацию о критических брешах или их продаже на черном рынке, чаще всего сталкивались с угрозами со стороны властей и предприятий и были вынуждены отказаться от публикации исследований.

В настоящее время расширяют свое влияние Вассенаарские договоренности, целью которых является повышение ответственности при передаче вооружений для предотвращения их дестабилизирующих накоплений. Участники Вассенаарских договоренностей на данный момент разрабатывают режим контроля за кибероружием, поэтому дебаты вокруг рынка уязвимостей нулевого дня накаляются. Как пишет Ars Technica, Вассенаарские договоренности не регулируют критические бреши и эксплоиты, а, скорее, контролируют технологии, которые будут использованы для создания уязвимостей и эксплоитов или для взаимодействия с ними.

ИБ-эксперт, которая помогала создавать программу по выплате вознаграждений компании Microsoft Кэти Муссурис (Katie Moussouris), рассказала, что, как известно, в идеале технические подробности об уязвимостях публикуются только после выпуска обновления, однако существует ряд нюансов, когда такой сценарий просто не осуществим, особенно, если проблема затрагивает нескольких производителей.

Oracle и некоторые другие крупные предприятия являются сторонниками полного раскрытия уязвимостей нулевого дня и выступают за регулировку исследований в области безопасности. По словам Муссурис, такой подход не всегда правильный, у производителей могут возникнуть проблемы с отчетами о брешах, которые просто вынуждают придержать информацию. Конечно, не исключены случаи, когда ИБ-исследователи в погоне за наживой продают данные об уязвимостях на черном рынке, однако исключить человеческий фактор просто невозможно. Таким образом происходит утечка информации о брешах, воспользоваться которой могут клиенты черных рынков.