You are hereГруппы / Безопасность / Как хакеры становятся богатыми. Продажа эксплойтов государственным спецслужбам
Как хакеры становятся богатыми. Продажа эксплойтов государственным спецслужбам
Журнал Forbes опубликовал подробное досье на компанию Vupen, которая занимается открытой продажей эксплойтов разведывательным агентствам и государственным спецслужбам. Французская фирма попала в поле зрения публики две недели назад после победы на последнем конкурсе Pwn2Own, когда показала эксплойт для Chrome и отказалась передавать его в Google, чтобы «сохранить для своих клиентов». То есть компания добровольно отказалась от награды $60 000, которую предлагала компания Google.
Исполнительный директор компании Чауки Бекрар (Chaouki Bekrar) сказал в интервью Forbes, что не передал бы информацию в Google даже за миллион долларов, потому что в этом случае Google немедленно закроет уязвимость в браузере.
Как выяснилось, клиенты Vupen оплачивают годовую подписку стоимостью 100 тысяч долларов только за то, чтобы быть в курсе последних эксплойтов, разработанных хакерами Vupen. В случае необходимости, клиенты могут за дополнительные деньги купить право на использование нового инструмента. Это очень ценный товар, позволяющий осуществлять скрытую слежку за подозреваемыми, проникновение в компьютерную сеть противника и так далее. Компания Vupen тщательно выбирает клиентов и якобы не продаёт эксплойты диктаторским режимам или в Россию, а только спецслужбам и силовым структурам стран НАТО, как указано на их сайте. Например, одним из их клиентов является немецкая полиция. В арсенале Vupen есть эксклюзивные эксплойты для всех существующих браузеров, а также для iOS, Android, Adobe Reader и Microsoft Word.
Чауки Бекрар говорит, что продажа эксплойтов сродни продаже оружия. Хотя вы тщательно выбираете покупателей среди «хороших» парней, но нельзя гарантировать, что эксплойт не будет использован где-нибудь в диктаторской стране для слежки за представителями политической оппозиции.
Аналитическая компания Frost & Sullivan присудила Vupen первое место в конкурсе 2011 Entrepreneurial Company of the Year, то есть их назвали самым перспективным бизнесом 2011 года. Действительно, если учитывать постоянно растущий спрос на 0day-эксплойты, компания может зарабатывать большие деньги как крупнейший в мире разработчик и поставщик эксплойтов. Vupen не покупает новые 0day-эксплойты у независимых хакеров, а нанимает хакеров на работу, получая миллионы долларов от своих клиентов. При этом клиент даже не рассчитывает на эксклюзив, а Vupen имеет право перепродавать эксплойты противоборствующим сторонам, классическим способом обогащаясь на «гонке вооружений».
Проблема в том, что после продажи эксплойта компания Vupen не может контролировать, с какой целью клиент использует это «оружие». Возможно, это противозаконные действия и нарушения прав человека. Проблема аналогична той, с которой столкнулся американский производитель оборудования для слежки и наблюдения Blue Coat Systems, который продал крупную партию товара фирме в Объединённых Арабских Эмиратах, а потом это оборудование всплыло в Сирии и использовалось правительством для слежки за политическими оппонентами.
Vupen — не единственный брокер эксплойтов на мировом рынке. Кроме неё, покупкой эксплойтов у независимых хакеров с целью перепродажи занимаются некоторые другие компании, в том числе Netragard, Endgame, Northrop Grumman и Raytheon. Но они этой делают максимально скрытно в обстановке абсолютной секретности. Компания Vupen отличается тем, что ведёт бизнес с размахом и не отказывается от такого пиара, как участие в хакерских конкурсах. Сами они называют это «прозрачностью», но независимые эксперты подбирают другие эпитеты: наглость или бесстыдство (слова Кристофера Согояна).
На фотографии внизу изображён Grugq, хакер родом из Южной Африки, который живёт в Бангкоке и работает как независимый брокер хайенд-эксплойтов. Он использует свои старые хакерские связи и работает как посредник, покупая эксплойты у хакеров и продавая их государственным агентствам. Grugq берёт комиссию 15% и уверяет, что только в декабре продал эксплойтов на 250 тысяч долларов — мол, в конце года бюджетные организации особенно щедры.
xakep.ru
Отправить комментарий