Известно, что АНБ занимается покупкой уязвимостей нулевого дня, которые держит в секрете и использует для шпионажа. Оказывается, не одна эта спецслужба занимается подобной деятельностью.
10 июня 2015 года на сайте с государственными тендерами FedBizOpps.gov появилось предложение от Военно-морских сил США (U.S. Navy) на поиск подрядчика типа CMMI-3 (Capability Maturity Model Integration), способного обеспечить поставку уязвимостей нулевого дня и рабочих эксплоитов, которые могут быть интегрированы в существующие фреймворки для эксплуатации.
Вскоре после того, как это тендерное предложение упомянули в прессе, его убрали с сайта. Тем не менее, оно сохранилось в кэше поисковых систем. В описании заявки сказано, что ВМС США нуждается в информации об эксплоитах, а также «рабочих бинарных файлах» для взлома коммерческих программ, в том числе Microsoft, Adobe, [Oracle] Java, EMC, Novell, IBM, Android, Apple, Cisco IOS, Linksys WRT и Linux.
«Продавец должен предоставить предлагаемый список уязвимостей, 0-day или N-day (не старше шести месяцев), — сказано в заявке. — Список должен обновляться ежеквартально и включать в себя разведданные и эксплоиты для широко используемого программного обеспечения. Государственные службы выберут необходимые из списка эксплоитов и бинарных файлов».
По условиям тендера, поставщик должен обеспечить в течение года как минимум десять отчётов с соответствующими эксплоитами (не менее двух за квартал).
В условиях также сказано, что подрядчик должен разрабатывать эксплоиты для новых уязвимостей CVE, информация о которых появляется в открытом доступе.
Фото: U.S. Navy