который бы позволял оценивать их настоящую стоимость, в настоящий момент практически не существует, и даже не вполне понятно, каким он должен быть, чтобы приносить наибольшую пользу обществу.
Райнер Бёме (Rainer Bцhme) рассматривает несколько типов рынков уязвимостей. 'Баг-челленджи' (bug challenges) и 'баг-аукционы' (bug auctions) относятся к самым простым и известным видам. Например, Дональд Кнут обещает выплачивать за каждую найденную ошибку в издательской системе TeX некоторую сумму, увеличивающуюся со временем. Аналогично Mozilla Foundation платит исследователям за уязвимости, найденные в браузере Firefox. В зависимости от заявленной цены исследователь может предпочесть продать уязвимость вендорам, вместо того чтобы использовать ее для создания эксплойта. Для этого, однако, цена должна быть достаточно большой и увеличиваться с ростом количества установок и внедрений.
'Несмотря на возможность денежного выражения стоимости эксплойта, я бы не назвал этот подход прекрасным рынком уязвимостей, поскольку соответствующий рыночный механизм обладает множеством проблем, - пишет Бёме. - Цена на этом рынке определяется покупателем (то есть вендором ПО. - И.Щ.), а не является результатом договоренности'. В результате она представляет собой только нижнюю оценку, и использовать ее затруднительно.
Еще один вариант: 'брокеры уязвимостей' - здесь речь идет о компаниях, скупающих информацию о дырах в безопасности для ее перепродажи 'хорошим людям' (вендорам ПО, корпоративным пользователям и т. д.). Такие компании существуют - например, iDefense, TippingPoint, Digital Armaments и др. С точки зрения общественной пользы, этот подход тоже далек от идеала - потому, в частности, что не сообщает никакой информации (о ценах уязвимостей и надежности продуктов) широкой публике. К тому же он вызывает соблазн у 'плохих людей' (преступности) получить доступ к упомянутой информации.
Еще один вариант рынка - 'exploit derivatives' (мне не удалось подобрать хорошего перевода этого термина). Суть его в том, что торговля на рынке происходит не самими эксплойтами и информацией об уязвимостях, а обязательствами выплатить определенную фиксированную сумму при наступлении того или иного события - например, обнаружения (или необнаружения) уязвимости какого-то конкретного продукта в конкретный момент времени. В этом случае стоимость подобных обязательств будет указывать на предполагаемую надежность продукта.
Так, производитель ПО, уверенный в своем продукте, может активно покупать контракты, по которым производятся выплаты, если уязвимость не будет обнаружена, - тем самым поднимая стоимость контракта практически до номинала. Аналогичным образом исследователь, обнаруживший уязвимость в продукте, считавшимся безопасным, может скупить контракты, выплаты по которым производятся в случае обнаружения уязвимости, а потом раскрыть свою информацию и продать контракты по более выгодной цене.
Наконец, Бёме рассматривает страхование - которое, обладая многими достоинствами, слабо распространено по разным техническим причинам.
Однако, несмотря на неплохую теоретическую проработку этого вопроса, легально продать найденный эксплойт сейчас непросто. Чарли Миллер пишет о своем опыте участия в легальном рынке уязвимостей и перечисляет связанные с ним проблемы: быстрое и неожиданное устаревание и обесценивание информации, отсутствие прозрачности в ценах, сложность поиска и проверки надежности покупателя, трудность доказательства обладания эксплойтом без раскрытия важной информации о нем.
Из двух попыток продажи уязвимостей Миллеру удалась лишь одна - да и та благодаря личным связям. Таким
