IT-специалисты зарабатывают шестизначные суммы на продажах эксплоитов на черном рынке
Продавцы эксплоитов не беспокоятся о том, что их инструменты могут быть незаконно использованы.
Как сообщает Forbes, специалистам информационной безопасности намного выгоднее продавать эксплоиты на черных рынках, нежели компаниям, в чьих продуктах были обнаружены уязвимости.
К примеру, специалисты из французской компании Vupen, которые обошли настройки безопасности браузера Google Chrome, отказались предоставлять подробности взлома web-обозревателя представителям Google за 60 тысяч долларов.
Глава компании Чаоки Бекрар (Chaouki Bekrar) заявил: «Мы не поделимся нашей информацией с Google даже за 1 млн долларов. Мы не хотим предоставлять им знания, которые помогут им исправить обнаруженную нами или любую другую уязвимость. Мы хотим оставить эксплоиты для наших клиентов».
По заявлению представителей Vupen, их клиентами являются правительственные учреждения, приобретающие эксплоиты для использования уязвимостей нулевого дня или хакерские инструменты, которые используют незакрытые бреши в программном обеспечении, для того, чтобы получать доступ к компьютерам и телефонам преступников.
Стоит отметить, что от производителя программного обеспечения хакер сможет получить от 2 до 3 тысяч долларов за обнаруженную уязвимость нулевого дня, в то время как правоохранительные органы предлагают суммы в 10 и даже 100 раз больше. Глава Vupen не раскрывает ценовую политику своей компании, однако аналитики из Frost & Sullivan отмечают, что клиенты компании ежегодно выплачивают 100 тыс. долларов за подписку на технологии Vupen, что позволяет им закупать у французской компании инструменты для взлома.
Отметим, что в ходе хакерского конкурса, который проводился компанией HP, представители Vupen заявили, что у них есть эксплоиты для использования уязвимостей во всех популярных браузерах.
По словам Бекрара, компания тщательно отбирает своих клиентов, которыми в большинстве являются правительства стран-участников НАТО или партнеры НАТО. Помимо этого, в компании также уверяют, что клиенты подписывают соглашение, в котором они обязуются не раскрывать подробности эксплоитов и не перепродавать их. Однако Бекрар все же признает, что разрабатываемые компанией технологии могут попасть не в те руки. «Мы делаем все возможное для того, чтобы инструменты не перепродавались нашими клиентами. Однако если вы продаете кому-то оружие, вы не можете быть уверены, что они не продадут его другому учреждению».
Компания Vupen уже столкнулась с критикой в адрес своей деятельности. Так, представитель организации Open Society Foundations Крис Согхоян (Chris Soghoian) называет Vupen «современным торговцем смерти», который продает «пули для кибервойны». Согхоян заявляет, что после продажи
эксплоита компания не имеет понятия, как он используется, и не нарушает ли он права людей. «В Vupen не знают, как используются их эксплоиты, и скорее всего они не хотят знать. Они всего лишь обналичивают чеки». В качестве примера Согхоян приводит использование ПО, разрабатываемого компанией Blue Coat Systems of Sunnyvale, которое использовалось для отслеживания участников акций протеста в Сирии.
Хотя Бекхар и отказался комментировать ценовую политику компании, агентству Forbes удалось связаться с южноафриканским хакером известным под псевдонимом the Grugq, который проживает в Бангкоке. Последний год хакер является брокером на рынке эксплоитов. Он ищет покупателей для инструментов, разработанных его друзьями-хакерами. За каждую покупку the Grugq получает комиссию в 15%, что позволило ему в этом году заработать 1 млн. долларов.
Комментируя ситуацию с Vupen, хакер заявил: «Бекхар очень умен. Он держит на руках все карты». Хакер заявляет, что покупатели Vupen не могут торговаться, так как всегда найдется тот, кто купит эксплоит за ту цену, которую назовет Бекхар.