ИБ-исследователи предупредили, что, компрометируя процедуры поиска уязвимостей ради спекуляций на бирже, компании создают опасный прецедент, бросающий тень на отношения между компаниями и «белыми» хакерами, помогающими искать бреши в безопасности.

Эксперты отрасли отреагировали на беспрецедентную модель партнерства между фирмой MedSec, специализирующейся на исследованиях безопасности, и инвестиционной компанией Muddy Waters LLC. На прошлой неделе Muddy Waters выпустила отчет, основанный на исследовании MedSec и ставящий под сомнение безопасность кардиостимуляторов и устройств мониторинга сердечной активности от St. Jude Medical. Целью Muddy Waters, по ее собственным заявлениям, стало понижение курса акций St. Jude Medical и получение прибыли благодаря публикации результатов исследования MedSec.

Во вторник Muddy Waters опубликовала видео, на котором показана PoC-атака на кардиостимулятор St. Jude Medical. В тот же день в St. Jude Medical опровергли аутентичность видеоролика и опубликовали официальное заявление, в котором компания подчеркнула, что ее устройства безопасны.

«На видео демонстрируется функция безопасности, а не изъян. Кардиостимулятор действует именно так, как должен. Если он подвергается хакерской атаке, кардиостимулятор переходит в безопасный режим, продолжая работать, что еще раз доказывает нашу приверженность принципам безопасности как пациентов, так и устройств», — подчеркнул Фил Эбелинг (Phil Ebeling), вице-президент и главный технический директор St. Jude Medical.

Кроме того, в тот же вторник исследователи университета Мичигана усомнились в чистоте эксперимента, проведенного MedSec и Muddy Waters. Эксперты провели собственный эксперимент над кардиостимулятором St. Jude Medical и не смогли воспроизвести атаку. Напротив, эксперты пришли «к совершенно противоположным результатам».

В то же время ИБ-исследователи сошлись во мнении, что со своей инициативой MedSec попала в «серую зону» этики процедур раскрытия информации об уязвимостях. ИБ-компания не сообщила о результатах своего исследования St. Jude Medical, а решила раскрыть сведения Muddy Waters с целью обогащения.

«Раскрытие информации об уязвимостях в любой сфере технологий должно прежде всего учитывать интересы потребителей и не использоваться для получения личной выгоды», — заявил Алекс Райс (Alex Rice), главный технический директор и сооснователь платформы Bug Bounty HackerOne.

Энтони Джеймс (Anthony James), главный директор по маркетингу в TrapX Security, которая, как и MedSec, специализируется в области безопасности медицинских устройств, описал партнерство между MedSec и Muddy Waters как «заигрывание на границе этики исследований». «Конечно, если одна из компаний создала управляемое падение курса акций, у нее был «шкурный интерес». Я никогда с таким не сталкивался, это просто безрассудство», — сказал Джеймс.

Глава MedSec Джастин Боун (Justine Bone) выступил в защиту партнерства с Muddy Waters. «Мы понимаем, что наш отход от общепринятых практик ИБ-сообщества вызовет критику, но, на наш взгляд, это был единственный способ заставить St. Jude Medical действовать», — сказал он.

На прошлой неделе Боун заявил, что при подготовке эксперимента с кардиостимулятором MedSec понесла достаточно большие издержки и собирается вернуть вложения за счет прибыли, полученной Muddy Waters от спекуляции с акциями St. Jude. В среду курс акций St. Jude Medical составил $77,82, что значительно ниже курса предыдущих пяти дней ($81,73).

Трой Хант (Troy Hunt), создатель сервиса мониторинга утечек «Have I Been Pwned?», видит в прецеденте потенциал для дальнейшего возникновения подобных союзов между ИБ-исследователями и инвестиционными компаниями.

«Предполагается, что помыслы ИБ-исследователя чисты, — сказал Хант. — У меня вызывают вопросы мотивы исследователей, которые связываются со спекулянтами, заинтересованными только в быстром наваре».

Хант верит, что «взаимовыгодные отношения» между MedSec и Muddy Waters могут мотивировать исследователей, не купающихся в деньгах, искать «спонсоров», которые будут получать информацию об уязвимостях раньше, чем сами компании, и использовать ее для получения прибыли.

В Veracode считают, что хеджевые фонды не впервые охотятся за ценной непубличной информацией и данный прецедент — просто еще один пример такой практики. Но представитель компании отметил, что у этой тенденции могут быть и положительные стороны, учитывая, какое количество потребительских устройств содержат уязвимости. «Ситуация не меняется в лучшую сторону, так что подобные «демарши» могут стать хорошим мотиватором: ведь компании будут понимать, каким серьезным может быть ущерб», — подчеркнул эксперт.

Джеймс из TrapX сказал, что в случае с St. Jude Medical целью исследования было не повышение безопасности, а привлечение внимания.

Директор по исследованиям в Synack Патрик Уордль (Patrick Wardle) отметил, что шумиха позволила обратить внимание на проблему с кардиостимуляторами St. Jude Medical, что послужит толчком для более активных действий по исправлению уязвимостей компанией.

«Оправдывает ли цель средства? Если я пользуюсь кардиостимулятором и хакер может взломать его, я думаю, что да», — сказал Уордль, подчеркнув, что оценивать последствия такого партнерства пока рано.

Категории: Уязвимости