На конференции по компьютерной безопасности приходят, чтобы посмотреть презентации новых 0day-уязвимостей в популярном ПО. Завсегдатаи таких мероприятий наверняка заметили, что в последние годы здесь показывают уже не настолько впечатляющие 0day-уязвимости, как раньше.
Причина в том, что информацию об уязвимостях теперь можно продать очень дорого, если не рассказывать о ней широкой публике. Сотни тысяч долларов за эту информацию готовы предложить военные подрядчики, разработчики вооружений, разведывательные агентства и правительства. Хотя торговля эксплойтами плохо задокументирована, но всё равно остаётся самой открытой часть военно-промышленного комплекса, который занимается производством зловредов. В этой сфере сформировалась целая индустрия, пишет издание Technology Review.
«С одной стороны, правительство поднимает шум о кибербезопасности, но одновременно с этим участвует в глобальном рынке уязвимостей и толкает цены вверх», — говорит эксперт по компьютерной безопасности Кристофер Согоян из Американского союза гражданских свобод (American Civil Liberties Union). По его информации, даже гражданские правоохранительные органы покупают 0day-уязвимости, чтобы ставить шпионские программы на мобильные телефоны подозреваемых.
Эксплойты для мобильных операционных систем ценятся особо, потому что операционные системы на мобильных телефонах редко обновляются, в отличие от настольных ПК. Например, компания Apple рассылает обновления iOS не чаще, чем пару раз в год, так что у государственных органов есть достаточное время для установки троянов и слежки за подозреваемыми. Авторы эксплойтов зачастую получают ежемесячные платежи в течение всего срока, пока действует эксплойт.
Ни один закон не запрещает торговлю эксплойтами в США или в других странах, так что иногда сделки проходят вполне открыто. Например, известный посредник в продаже эксплойтов Grugq неоднократно рассказывал о таких сделках, в том числе выступая на хакерских конференциях в России.
Некоторые фирмы тоже не стесняются открыто предлагать правительствам и государственным агентствам эксплойты для продажи, как это делает французская фирма Vupen. У них на сайте прямо рекламируется программа Threat Protection Program с использованием 0day-уязвимостей, программа рассчитана на правительства демократических стран. В прошлом году компания Vupen демонстративно отказалась передать в Google эксплойт для браузера Chrome, отвергнув предлагаемое вознаграждение в размере $60 тыс.
Руководители АНБ недавно одобрили увеличение компьютерного подразделения U.S. Cyber Command с 900 до 5000 человек, с формированием специализированной бригады для проведения наступательных операций. Научно-исследовательское агентство DARPA недавно объявило о расширении финансирования исследований в области компьютерной безопасности с 8% своего бюджета до 12%. Не факт, что эти деньги идут непосредственно на покупку эксплойтов, но цены на рынке совершенно точно растут.
