Американский ВПК толкает вверх цены на эксплойты

На конференции по компьютерной безопасности приходят, чтобы посмотреть презентации новых 0day-уязвимостей в популярном ПО. Завсегдатаи таких мероприятий наверняка заметили, что в последние годы здесь показывают уже не настолько впечатляющие 0day-уязвимости, как раньше.

Причина в том, что информацию об уязвимостях теперь можно продать очень дорого, если не рассказывать о ней широкой публике. Сотни тысяч долларов за эту информацию готовы предложить военные подрядчики, разработчики вооружений, разведывательные агентства и правительства. Хотя торговля эксплойтами плохо задокументирована, но всё равно остаётся самой открытой часть военно-промышленного комплекса, который занимается производством зловредов.

«С одной стороны, правительство поднимает шум о кибербезопасности, но одновременно с этим участвует в глобальном рынке уязвимостей и толкает цены вверх», — говорит эксперт по компьютерной безопасности Кристофер Согоян из Американского союза гражданских свобод (American Civil Liberties Union). По его информации, даже гражданские правоохранительные органы покупают 0day-уязвимости, чтобы ставить шпионские программы на мобильные телефоны подозреваемых.

Эксплойты для мобильных операционных систем ценятся особо, потому что операционные системы на мобильных телефонах редко обновляются, в отличие от настольных ПК. Например, компания Apple рассылает обновления iOS не чаще, чем пару раз в год, так что у государственных органов есть достаточное время для установки троянов и слежки за подозреваемыми. Авторы эксплойтов зачастую получают ежемесячные платежи в течение всего срока, пока действует эксплойт.

Ни один закон не запрещает торговлю эксплойтами в США или в других странах, так что иногда сделки проходят вполне открыто. Например, известный посредник в продаже эксплойтов Grugq неоднократно рассказывал о таких сделках, в том числе выступая на хакерских конференциях в России. Некоторые фирмы тоже не стесняются открыто предлагать правительствам и государственным агентствам эксплойты для продажи, как это делает французская фирма Vupen. В прошлом году компания Vupen демонстративно отказалась передать в Google эксплойт для браузера Chrome, отвергнув предлагаемое вознаграждение в размере $60 тыс.