В России открылась биржа для покупки-продажи эксплойтов
Рынок 0day-уязвимостей выходит из подполья
Структура архива, похищенного с серверов компании Hacking Team. Фирма продавала эксплойты спецслужбам России и других стран
В России открылась первая биржа, где разработчики и хакеры могут официально продавать уязвимости в программном обеспечении Linux, Windows, OS X, Tor, iOS, Android, браузеров Chrome, IE и др. Продавая уязвимость заинтересованному клиенту и сохраняя её в секрете, можно заработать гораздо больше, чем по официальной программе выплаты вознаграждения за уязвимости, которая предусматривает раскрытие информации и выпуск патча.
Правда, этичность такого бизнеса остаётся под вопросом, ведь правительственные агентства используют эти баги для шпионажа за гражданами и иностранной разведки. Но такая деятельность не противоречит законодательству.
Российскую биржу Expocod.com основал бывший сотрудник Росфинмониторинга Андрей Шорохов, пишет «Коммерсантъ». Покупателями эксплойтов станут госструктуры и компании в сфере информационной безопасности. На контакт с биржей уже вышли представители ФСБ.
Раньше продажа свежих эксплойтов и 0day-багов в популярном ПО происходила на чёрном рынке. Затем в игру вступили государства: эксплойты начали скупать спецслужбы, разведывательные агентства и правоохранительные органы, которые нуждаются в разработке эффективных троянов и бэкдоров для выслеживания преступников, внешней разведки, саботажа на иностранных промышленных предприятиях. Госструктуры остаются основными клиентами и сейчас.
Российская хакерная сцена всегда была одним из главных поставщиков свежих эксплойтов и 0day, но торговля велась в подполье.
Grugq, хакер из Южной Африки, который живёт в Бангкоке и работает как независимый брокер хайенд-эксплойтов. В сумке лежат деньги для расчётов с поставщиками
Несколько лет назад в мире появились первые хакерские фирмы, которые официально специализируются на продаже эксплойтов. Первой в поле зрения публики попала французская компания Vupen. В марте 2012 года после победы на конкурсе Pwn2Own она показала действующий эксплойт для Chrome и отказалась передавать его в Google, чтобы «сохранить для своих клиентов». То есть компания добровольно отказалась от награды $60 000, которую предлагала Google за раскрытие дыры в Chrome. Стало ясно, что «клиенты» заплатят больше.
Французская группа Vupen продавала эксплойты с 2012 года и неоднократно побеждала на хакерских конкурсах: фото сделано на CanSecWest в 2014 г
Здесь нет ничего удивительного, ведь на чёрном рынке стоимость эксплойтов, по слухам, доходит до $500 000. Только за подписку на ленту новостей о свежих багах, которые появляются в продаже, клиенты Vupen платили $100 тыс. в год. В случае необходимости клиенты могут за дополнительные деньги купить право на использование нового инструмента. Это очень ценный товар, позволяющий осуществлять скрытую слежку за подозреваемыми, проникновение в компьютерную сеть противника и так далее. Компания Vupen тщательно выбирала клиентов: они могли быть только изх стран НАТО, АНЗЮС и АСЕАН.
Сейчас наиболее известными мировыми площадками по покупке эксплойтов являются Zerodium, Zeronomicon, Zero Day Initiative и Mitnick’s Absolute Zero-Day Exploit Exchange. Всего в мире сейчас около двух десятков крупных площадок по покупке эксплойтов. Объём этого рынка быстро растёт.
Некоторые западные торговцы эксплойтами декларируют, что не продают эксплойты в страны, где правительства могут использовать их некорректным способом, например, преследовать политических оппонентов. Поэтому они не работают, скажем, с российскими правоохранительными органами.
Российская биржа Expocod.com будет не так избирательна. Здесь инструменты для взлома и шпионажа может купить и продать почти кто угодно. «Мы оставляем за собой право выбирать, кому и что продавать, — это вопрос этики и репутации. Безусловно, каким-то борцам за независимость Сомали, КНДР или подобным им режимам мы продавать эксплойты не будем, а всем остальным — почему бы и нет», — говорит основатель Expocod Андрей Шорохов.
Согласно информации на сайте, стоимость эксплойта в Adobe Flash составляет до $55 тыс., уязвимости в различных браузерах могут быть проданы за $35–60 тыс., дыра в анонимайзере Tor — $80 тыс., в операционных системах Windows, OS X, Linux и др. — за $35-$80 тыс.
Для сравнения, 0day-уязвимость для всех версий Windows сейчас продаётся на рынке за $90 тыс. Покупатель пока не найден, но эксперты считают, что найдётся.
Андрей Шорохов ранее работал в финансовой разведке в управлении финансовых расследований Росфинмониторинга, где специализировался в том числе на расследовании высокотехнологичных преступлений: «Я единственный владелец Expocod и конечный бенефициар этого проекта, каких-то тайных инвесторов тут нет, все средства в развитие проекта вкладываю я», — сказал он в интервью «Коммерсанту». В команду Expocod входят бывшие хакеры, которые перешли на «светлую сторону», и специалисты из ИБ-индустрии. Как и Vupen, российская компания будет не только покупать и перепродавать уязвимости, но и разрабатывать эксплойты самостоятельно.
Компания также создаёт набор тестировочных эксплойтов, который позволит оценивать степень защищённости какой-либо IT-системы: «Например, мы сможем протестировать на наличие уязвимостей банковские АБС или то, насколько какое-либо оборонное предприятие уязвимо для внешних угроз», — сказал Шолохов.
К сожалению, ради соблюдения государственных интересов приходится жертвовать безопасностью программного обеспечения и операционных систем. Если эксплойты продаются на чёрном рынке в секретных условиях, то патчи выйдут нескоро. Использование госорганами эксплойтов — «необходимость в современном мире для отстаивания своих стратегических интересов в области информационной безопасности», объяснил Шолохов.
Хакеры (и программисты, участники проектов open source) могут продать на бирже уязвимости за биткоины. Для участников проектов open source возникает соблазн не закрывать баг, который они нашли в коде, а продать информацию на бирже. Будем надеяться, что это не отразится негативно на качестве софтверных проектов.