Журнал Forbes опубликовал подробное досье на компанию Vupen, которая занимается открытой продажей эксплойтов разведывательным агентствам и государственным спецслужбам. Французская фирма попала в поле зрения публики две недели назад после победы на последнем конкурсе Pwn2Own, когда показала эксплойт для Chrome и отказалась передавать его в Google, чтобы «сохранить для своих клиентов». То есть компания добровольно отказалась от награды $60 000, которую предлагала компания Google.

Исполнительный директор компании Чауки Бекрар (Chaouki Bekrar) сказал в интервью Forbes, что не передал бы информацию в Google даже за миллион долларов, потому что в этом случае Google немедленно закроет уязвимость в браузере.

Французская команда Vupen Security
Французская команда Vupen Security

Как выяснилось, клиенты Vupen оплачивают годовую подписку стоимостью 100 тысяч долларов только за то, чтобы быть в курсе последних эксплойтов, разработанных хакерами Vupen. В случае необходимости, клиенты могут за дополнительные деньги купить право на использование нового инструмента. Это очень ценный товар, позволяющий осуществлять скрытую слежку за подозреваемыми, проникновение в компьютерную сеть противника и так далее. Компания Vupen тщательно выбирает клиентов и якобы не продаёт эксплойты диктаторским режимам или в Россию, а только спецслужбам и силовым структурам стран НАТО, как указано на их сайте. Например, одним из их клиентов является немецкая полиция. В арсенале Vupen есть эксклюзивные эксплойты для всех существующих браузеров, а также для iOS, Android, Adobe Reader и Microsoft Word.

Чауки Бекрар говорит, что продажа эксплойтов сродни продаже оружия. Хотя вы тщательно выбираете покупателей среди «хороших» парней, но нельзя гарантировать, что эксплойт не будет использован где-нибудь в диктаторской стране для слежки за представителями политической оппозиции.

Аналитическая компания Frost & Sullivan присудила Vupen первое место в конкурсе 2011 Entrepreneurial Company of the Year, то есть их назвали самым перспективным бизнесом 2011 года. Действительно, если учитывать постоянно растущий спрос на 0day-эксплойты, компания может зарабатывать большие деньги как крупнейший в мире разработчик и поставщик эксплойтов. Vupen не покупает новые 0day-эксплойты у независимых хакеров, а нанимает хакеров на работу, получая миллионы долларов от своих клиентов. При этом клиент даже не рассчитывает на эксклюзив, а Vupen имеет право перепродавать эксплойты противоборствующим сторонам, классическим способом обогащаясь на «гонке вооружений».

Проблема в том, что после продажи эксплойта компания Vupen не может контролировать, с какой целью клиент использует это «оружие». Возможно, это противозаконные действия и нарушения прав человека. Проблема аналогична той, с которой столкнулся американский производитель оборудования для слежки и наблюдения Blue Coat Systems, который продал крупную партию товара фирме в Объединённых Арабских Эмиратах, а потом это оборудование всплыло в Сирии и использовалось правительством для слежки за политическими оппонентами.

Vupen — не единственный брокер эксплойтов на мировом рынке. Кроме неё, покупкой эксплойтов у независимых хакеров с целью перепродажи занимаются некоторые другие компании, в том числе Netragard, Endgame, Northrop Grumman и Raytheon. Но они этой делают максимально скрытно в обстановке абсолютной секретности. Компания Vupen отличается тем, что ведёт бизнес с размахом и не отказывается от такого пиара, как участие в хакерских конкурсах. Сами они называют это «прозрачностью», но независимые эксперты подбирают другие эпитеты: наглость или бесстыдство (слова Кристофера Согояна).

На фотографии внизу изображён Grugq, хакер родом из Южной Африки, который живёт в Бангкоке и работает как независимый брокер хайенд-эксплойтов. Он использует свои старые хакерские связи и работает как посредник, покупая эксплойты у хакеров и продавая их государственным агентствам. Grugq берёт комиссию 15% и уверяет, что только в декабре продал эксплойтов на 250 тысяч долларов — мол, в конце года бюджетные организации особенно щедры.

Grugq, хакер из Южной Африки, который живёт в Бангкоке и работает как независимый брокер хайенд-эксплойтов. В сумке рядом с ним лежат деньги для расчётов с поставщиками
Grugq, хакер из Южной Африки, который живёт в Бангкоке и работает как независимый брокер хайенд-эксплойтов. В сумке рядом с ним лежат деньги для расчётов с поставщиками



Оставить мнение