Еще один вариант: "брокеры уязвимостей" - здесь речь идет о компаниях, скупающих информацию о дырах в безопасности для ее перепродажи "хорошим людям" (вендорам ПО, корпоративным пользователям и т. д.). Такие компании существуют - например, iDefense, TippingPoint, Digital Armaments и др. С точки зрения общественной пользы, этот подход тоже далек от идеала - потому, в частности, что не сообщает никакой информации (о ценах уязвимостей и надежности продуктов) широкой публике. К тому же он вызывает соблазн у "плохих людей" (преступности) получить доступ к упомянутой информации.

Еще один вариант рынка - "exploit derivatives" (мне не удалось подобрать хорошего перевода этого термина). Суть его в том, что торговля на рынке происходит не самими эксплойтами и информацией об уязвимостях, а обязательствами выплатить определенную фиксированную сумму при наступлении того или иного события - например, обнаружения (или необнаружения) уязвимости какого-то конкретного продукта в конкретный момент времени. В этом случае стоимость подобных обязательств будет указывать на предполагаемую надежность продукта.

Так, производитель ПО, уверенный в своем продукте, может активно покупать контракты, по которым производятся выплаты, если уязвимость не будет обнаружена, - тем самым поднимая стоимость контракта практически до номинала. Аналогичным образом исследователь, обнаруживший уязвимость в продукте, считавшимся безопасным, может скупить контракты, выплаты по которым производятся в случае обнаружения уязвимости, а потом раскрыть свою информацию и продать контракты по более выгодной цене.

Наконец, Бёме рассматривает страхование - которое, обладая многими достоинствами, слабо распространено по разным техническим причинам.

Однако, несмотря на неплохую теоретическую проработку этого вопроса, легально продать найденный эксплойт сейчас непросто. Чарли Миллер пишет о своем опыте участия в легальном рынке уязвимостей и перечисляет связанные с ним проблемы: быстрое и неожиданное устаревание и обесценивание информации, отсутствие прозрачности в ценах, сложность поиска и проверки надежности покупателя, трудность доказательства обладания эксплойтом без раскрытия важной информации о нем.

Из двух попыток продажи уязвимостей Миллеру удалась лишь одна - да и та благодаря личным связям. Таким образом, можно заключить, что эффективного легального рынка в данный момент не существует.

Кроме упомянутых в статье, есть и другие причины, вследствие которых производителю софта (и информационных систем вообще) невыгодно заниматься его безопасностью. Андерсон выделяет, например, стремление как можно быстрее захватить рынок и "замкнуть" на себе пользователей с помощью проприетарных технологий. Здесь работает так называемый закон Меткалфа (полезность продукта пропорциональна числу его пользователей), хорошо проявивший себя в ситуации с пакетом MS Office: даже сейчас, несмотря на усилия по распространению открытых стандартов для офиса, старые бинарные форматы файлов (doc, xls) остаются стандартом де-факто в документообороте и замыкают пользователей на продукты Microsoft. В этой ситуации разработчики платформы (например, Windows) должны на этапе захвата рынка как можно больше упростить жизнь разработчикам стороннего софта - а значит, не могут обременять их заботой о безопасности. "Мы доставим товар в этот вторник, но сделаем все как надо только к третьей версии - идеально рациональное поведение в условиях многих рынков", - пишет Андерсон - и именно это мы наблюдаем в попытках радикально улучшить безопасность Windows Vista.

Исследование вопросов информационной безопасности давно вышло за рамки интересов технических специалистов и довольно активно исследуется представителями гуманитарных дисциплин - в первую очередь экономистами. Возможно, ключ к нашей безопасности лежит именно в этих исследованиях, а не в еще более быстром обновлении антивирусных баз и даже не в хитрых технологиях, против которых обязательно найдутся соответствующие технологии у другой, враждебной стороны.

[1] Don Jackson/SecureWorks, "Gozi Trojan" (технический отчет).

[2] Scott Berinato/CIO, "Who’s Stealing Your Passwords? Global Hackers Create a New Online Crime Economy".

[3] Ross Anderson, "Why Information Security is Hard - An Economic Perspective".

[4] Ross Anderson, Tyler Moore, "Information Securty Economics - and Beyond". Там же.