Все мы время от времени слышим об уязвимостях в программном обеспечении, которые позволяют нехорошим людям организовывать ботнеты, получать контроль над серверами банков и списывать со счетов ничего не подозревающих обывателей заработанные потом и кровью деньги... Уязвимости - это, конечно, неотъемлемый атрибут любого программного обеспечения. Но как они обнаруживаются? И, главное, кем?

В общем-то, если есть программы без ошибок, то они настолько просты по своей структуре, что пользователю совершенно неинтересны. Там, где число строчек кода программы превышает одну (в которой записано что-то вроде "printf("Hello World!");"), появляется и место для различных багов, уязвимостей и прочей нечисти, от которой заговаривают программы программисты да тестировщики. Существуют, конечно, некоторые идеи насчёт того, как уменьшить число ошибок в том программном обеспечении, где это особенно критично. Придуманы язык программирования Ада, функциональное программирование, разработка через тестирование (test-driven develop-ment)... Только особой популярности они почему-то не приобрели. Сложно сказать, почему - вполне возможно, что всё целиком и полностью без особых зазрений совести можно списать на инертность программистов и даже менеджеров, руководящих процессами разработки программных продуктов... Впрочем, сейчас мы ведь говорим не об этом - инертность программистов мы с вами, помнится, уже обсуждали (см. статью "Программисты тормозят прогресс?" в "КВ" №26).

Интереснее вопрос о том, как обнаруживается существование уязвимостей. Казалось бы, всё очень просто: работает пользователь с программой, и вдруг у него вылезает сообщение об ошибке (или программа виснет, или ещё какая-то внештатная ситуация), и об этой ошибке сообщается в блоге пользователя. Блог находят злоумышленники - и вот перед нами уже не просто баг, а уязвимость во всей своей ужасающей красе. Только, несмотря на кажущуюся правдоподобность этого сценария, он не слишком вероятен. Посмотрите новости, касающиеся уязвимостей в программах: львиная их доля начинается с фразы вроде "известный эксперт по безопасности Такой-то МакТакой-то сообщил о найденной им новой уязвимости в популярной операционной системе Кастрюликс". Кто такие эти эксперты по безопасности и зачем они занимаются поиском уязвимостей? Согласитесь, довольно любопытный вопрос.

С тем, кто такие эксперты по безопасности, сомнений, думаю, ни у кого не возникает. Хорошо разбираться в вопросах защиты может только тот, кто хорошо разбирается и в нападении. То есть, говоря по-русски, эксперты по безопасности (обычно, правда, это словосочетание употребляют ещё с каким-нибудь прилагательным, показывающим, что безопасность относится всё-таки к сфере информационных технологий: эксперты по информационной безопасности, эксперты по сетевой безопасности, эксперты по компьютерной безопасности и т.д. и т.п.) - это просто переквалифицировавшиеся взломщики. Что ж, действительно, это вполне очевидно, и ничего страшного в том нет - можно только порадоваться за таких людей, получивших возможность легально заниматься любимым делом. Другой вопрос, что они получают за занятие этим делом? Ведь вряд ли квалифицированный взломщик предпочтёт оставить своё, пусть и не легальное, но зато весьма доходное ремесло ради того, чтобы получить возможность бесплатно отыскивать чужие ошибки.

Многие известные эксперты по безопасности работают на успешные и крупные компании, выпускающие программное обеспечение, для которого ошибки смерти подобны. Например, это программы для банковской отрасли или бортовые системы самолётов, которые не должны быть доступны для проникновения извне, но при этом обязаны обеспечивать устойчивую связь с теми, с кем нужно быть связанным. Конечно, далеко не всякий свободный хакер согласится "продаться" корпорациям - пусть даже цена за его умения и навыки и будет назначена очень и очень привлекательная. Многие эксперты по безопасности открывают собственные компании, занимающиеся исследованиями уязвимостей, сбором данных и составлением различных бюллетеней, посвящённых уязвимостям в программах. Этот бизнес приносит весьма неплохой доход - ведь подобные сведения покупают не только компании, в продуктах которых найдены уязвимости, но и те, кто желает эти уязвимости эксплуатировать. Необязательно это хакеры - у них просто не хватит денег на покупку таких сведений; они сами зачастую занимаются тем, что перепродают вирусописателям, спамерам и прочим тёмным личностям найденные бреши. Нет, здесь, скорее, речь о конкурирующих компаниях, желающих подмочить репутацию тех или иных продуктов публикацией сведений об уязвимостях.

К чему я это всё рассказываю? А к тому, что белорусам было бы вполне по силам создать компанию, занимающуюся информационной безопасностью, вместо того, чтобы плодить аутсорсинговые фирмы, которые отличаются только названиями. Этот бизнес требует гораздо меньше начальных вложений - нужны только знания, плюс репутация, которая будет заработана качеством услуг. Впрочем, конечно, идти проторенными тропами аутсорсинга, наверное, легче... Или я ошибаюсь? Хотелось бы в это верить...

Вадим СТАНКЕВИЧ,
dreamdrusch@tut.by