IT-клуб: техновости
Новости: Компьютеры, интернет, технологии, мобильные

Торговці смертю на новий лад

22.03.2012

Торговці смертю на новий лад

На перший погляд - рядова подія: французька компанія Vupen, яка займається дослідженнями в області безпеки, відмовилася брати участь в конкурсі Google Pwnium і реєструвалася натомість на заході Pwn2Own. Багато хто приписав би цю подію звичайній взаємній неприязні: бували вже інциденти з'ясування відносин між пошуковим гігантом і Vupen. Проте, на думку Forbes відповідь може виявитися абсолютно іншою.

Всім відомо, що за злом свого оглядача Chrome Google обіцяє премії. Проте, якщо хакеру вдається провести атаку, для отримання винагороди він повинен надати повну інформацію про вживані методи. Але Vupen такі умови не влаштовують.

Енді Грінберг, журналіст Forbs пише в своєму блогі, що хакери відмовилися від участі в конкурсі не тільки через бажання залишити всі свої секрети при собі, але і тому, що сума обіцяних виплат виявилася набагато меншою за ту, яку вони могли б витягнути, продавши експлойти урядовим агентствам.

«Навіть якщо Google запропонувала б мільйон доларів за опис знайдених вад і методів атак, ми б відмовилися, оскільки таку інформацію ми надаємо тільки нашим замовникам», - заявив глава Vupen Чауоки Бекрар. Природно, точну вартість він не назвав, проте, на думку експертів, інформація про експлойти для zero-day вразливостей коштує в 10, а то і в 100 разів більше, ніж може запропонувати софтверна компанія.

Аналітична компанія Frost & Sullivan провела розслідування, в результаті якого з'ясувалося, що річна підписка з можливістю доступу до «банку знань» Vupen коштує $100,000 (75,000 EUR). У їх сховищі представлена повна інформація про будь-яку zero-day уразливість, включаючи методи атак на Microsoft Word, Adobe Reader, Android, iOS, будь-який оглядач та інші програмні продукти.

Важливо відзначити, що за цю вартість хакери не надають ексклюзивних прав на свою продукцію, але при цьому один експлойт може бути проданий різним урядовим агентствам. Використовуючи подібну бізнес-модель, вони буквально підбурюють своїх клієнтів один проти одного, прагнучи таким чином розігріти гонку кібер-озброєнь.

За словами Бекрара, компанія ретельно охороняє інформацію про своїх замовників і експлойти продаються тільки компаніям з країн НАТО і їх партнерам. У компанії є свої правила, згідно з якими кожен замовник розглядається індивідуально і відносини не оформляються з представниками «недемократичних держав». Він також відзначив, що з кожним замовником оформляють договір, в рамках якого клієнт не може передати або перепродувати одержані з «банку знань» дані. Проте Бекрар визнав те, що існує вірогідність того, що ця інформація може потрапити «не до тих рук».

У відповідь на це, активіст в області конфіденційності Крістофер Согойан, назвав це «сучасною торгівлею смертю», оскільки вони продають «зброю для кібервійни». На його думку, після того, як експлойт був проданий, він зникає, і ніхто не знає яким чином він використовується: на благо або в шкоду. Так, і цілком можливо, що Vupen не хочуть цього знати.

Звичайно, Vupen не єдина компанія, яка вирішила побудувати собі бізнес-модель подібного роду: є і крупніші мережеві проекти, орієнтовані на монетизацію вад в програмному забезпеченні. Такі організації, по суті, займаються прямим шантажем, направляючи виробникам програмного забезпечення повідомлення про виявлення безлічі критичних помилок в їх продуктах і пропонуючи заплатити крупну суму грошей за розкриття докладної інформації про вади. Французька фірма, втім, пішла ще далі: про передачу даних розробникам уразливих продуктів вона і не думає. Годі і говорити про те, що цитовані Грінбергом заяви Чауки Бекрара віддають явним цинізмом: nothing personal, just business.

На главную