Ответить на комментарий

Картинка: 

Основными покупателями уязвимостей являются правительственные разведывательные агентства.

Сообществу исследователей кибербезопасности на сегодняшний день приходится принимать большое количество тяжелых решений. Если хакер, например, обнаружил уязвимость в браузере Internet Explorer, которая позволяет скомпрометировать целевую систему, он должен сделать непростой выбор: поделиться найденной информацией с корпорацией Microsoft и получить славу, признание и, в лучшем случае, несколько тысяч долларов вознаграждения; либо продать функциональный эксплоит для этой уязвимости на черном рынке и заработать от $60 000 до $120 000.

В первом случае корпорация Microsoft примется за устранение данной уязвимости и в течение некоторого времени (от нескольких дней, как это было с DoS-уязвимостью обработки данных хеш таблиц , до года, как это было с уязвимостью переполнения буфера в RDP ), в зависимости от ее опасности и сложностью эксплуатации, устранит ее. Во втором случае уязвимость, возможно, будет использована для слежки за пользователями, кражи личных данных, либо, что также вероятно, для нанесения урона инфраструктурным объектам обороны или экономики (мы все помним, чего добились владельцы Stuxnet в 2010 году).

Итак, владея функциональным эксплоитом собственного производства, хакер пытается найти способ его наиболее эффективного применения. Как мы уже отмечали, самым выгодным способом монетизации плодов собственного труда для исследователя безопасности является продажа эксплоита на черном рынке. Как передает журнал Forbes, чаще всего в подобном случае хакер обращается к посреднику, который перепродает эксплоит к уязвимости правительственным разведывательным учреждениям или мафии, оставляя себе определенный процент комиссии.

Одним из таких посредников издательство назвало хакера под псевдонимом «the Grugq», который проживает в Бангкоке. За комиссию в 15% этот исследователь безопасности может продать эксплоит к уязвимости в одном из популярных браузеров, в операционной системе или в любом другом популярном программном обеспечении. Работая в данном бизнесе, на протяжении года the Grugq может заработать 1 миллион долларов.

В интервью издательству посредник признался, что недавно, закрывая сделку на $250 000, его одолевали сомнения, не стоило ли ему установить более высокую цену. «По-моему я продешевил. Клиент был слишком довольным», - заявил посредник.

Основными клиентами the Grugq, как он сам признается, являются западные правительства, особенно США. В основном это связано с тем, что развитые демократические страны обычно готовы платить больше. «Продажа бреши русской мафии гарантирует, что она вскоре будет устранена, также они платят очень мало… В России огромное количество преступников. Они используют эксплоиты самыми жесткими и неэффективными методами, и они постоянно пытаются обмануть друг-друга», - отмечает хакер. Китайский рынок, в свою очередь, занят местными хакерами, которые продают эксплоиты только своему правительству. «(Китайский – ред.) рынок сильно наполнен… а страны Ближнего Востока и Азии также не могут соперничать с ценовой политикой Запада».

Проведя исследование ценовой политики при продаже уязвимостей нулевого дня, сотрудники Forbes представили следующую таблицу:

Таким образом, рыночная цена эксплоита значительно выше, чем та, которую выплачивают за информацию об уязвимости производители. «Если они (производители) хотят исправить свои бреши, пусть обращаются на рынок, как и все остальные… Со всех по способностям, каждому по потребностям? Это коммунизм. Если они желают информацию, пусть платят за нее как все остальные», - заявил the Grugq.

securitylab.ru