Как устроен рынок защиты от хакеров
Защита от кибератак требует постоянного поиска уязвимых мест (их так и называют — уязвимостями) в уже готовом и работающем программном обеспечении. Обнаружив уязвимость в системе крупной компании или государственного учреждения, можно дорого продать эту информацию: неудивительно, что желающих заработать на просчётах разработчиков становится с каждым днём всё больше.
За уязвимость платят много: 20 тысяч долларов за штуку — не редкость, а Google может отдать и 200 000, рассказывает журналу The Economist Билли Риос, бывший сотрудник корпорации. Но профессиональные дилеры находят такие суммы смешными.
Да, так называется новая профессия: торговец эксплойтами — программами, использующими уязвимости для организации кибератак. Это легальный бизнес: компания Zerodium, например, официально зарегистрирована в округе Вашингтон, а её глава, Чаруки Бекрар, заключает сделки на суммы от 500 тысяч до полутора миллионов долларов. Иногда их бизнес напоминает фильмы про Дикий Запад и охотников за головами: например, в 2015 году Zerodium объявила награду в 1 миллион долларов за уязвимость в iOS 9 (и выплатила её талантливой хакерской группе).
Есть такие компании и в России: московская фирма Gleg во главе с Юрием Гуркиным, оперирует примерно такими же цифрами. По оценке главы французского дилера эксплойтов Филиппа Ланглуа, главы P1 Security, в мире сейчас существует порядка 200 таких компаний.
Дилеры выкупают эксплойты у частных лиц — хакеров на фрилансе, и перепродают тем, кто может их использовать. Некоторые дилеры предпочитают продавать эксплойты тем, кого они непосредственно касаются, но есть на этом рынке и теневые игроки. Тем, кто хочет оставаться в рамках закона, приходится придирчиво выбирать контрагентов: в Zerodium говорят, что они отклоняют намного больше предложений, чем подписывают контрактов.
Часто клиентами становятся правительственные структуры. В 2015 году на WikiLeaks были опубликованы документы, из которых следовало, что дилеры Hacking Team продавали свой товар правительствам Арабских Эмиратов, Бахрейна, Египта, Морокко, России, Саудовской Аравии и Судана. Официально контракты на покупку эксплойтов заключаются в офисах солидных компаний, но часто их можно купить и на торговых площадках в интернете, где не всех интересует соблюдение закона.
Продаются не только эксплойты, но и предупреждения об их покупке. Американская компания CYR3CON, например, специализируется на анализе переписки хакеров и (за вознаграждение) предупреждает компании о возможных атаках на их системы с помощью проданного на чёрном рынке ПО.
Когда вирусы-шифровальщики WannaCry в один день заразили тысячи компьютеров по всему миру (пострадали, в том числе, и российские компании и госорганы), CYR3CON перехватили разговоры хакеров об эксплойтах, написанных специально для WannaCry. Спустя 11 дней, когда о шифровальщике почти забыли, клиенты CYR3CON узнали о одном из эксплойтов, установленном, но еще не активированном, на 62 тысячах машин. Многие принадлежали тем жертвам хакеров, которые без лишних разговоров заплатили преступникам. Тем компаниям, которые не пользовались услугами CYR3CON, повезло меньше.
Оригинальная статья The Economist, перевод с изменениями и дополнениями.