Прайс-лист для хакера, или сколько стоит взлом
🕛 21.04.2012, 08:43
«Руформатор» представляет перевод статьи Энди Гринберга из Forbes.Умный хакер сегодня сталкивается с непростым выбором. Найдите ранее неизвестную уязвимость в iPhone или iPad и вы сможете сообщить об этом компании Apple и представить результаты своей работы на конференции по безопасности, чтобы добиться известности и прибыльных контрактов в сфере консалтинга. Другой вариант – вы можете поделиться своим успехом с Zero Day Initiative и заработать $10 тыс. Оба варианта позволят Apple исправить свои ошибки и сделать жизнь сотни миллионов пользователей iPhone и IPad более безопасной.
Но любой, кто знаком с хакером, известным под ником «the Grugq», получает третью опцию: провернуть сделку через анонимного брокера, продав информацию об уязвимости государственному агентству за миллион долларов (минус 15% комиссии для «the Grugq»).
Хакер the Grugq начал заниматься посредничеством между хакерами и правительством в этом году, и за короткий срок провернул уже несколько десятков сделок. Он говорит, что в этом году ожидает заработать около миллиона долларов.
Даже несмотря на то, что с каждого миллионного контракта он получает $250 тыс, the Grugq считает, что занизил стоимость своих услуг. «Клиент был слишком счастлив», - комментирует он свою точку зрения. Шестизначные суммы за один-единственный взлом могут показаться чересчур раздутыми, но на самом деле это нормальная практика. На основании разговора с участниками этой скрытной, но законной торговли, я составил примерный прайс-лист на эксплойты «нулевого дня».
Эти цены предполагают, что ваш товар эксклюзивен, что уязвимость была найдена в самой последней версии программного обеспечения и что вы не предупреждали о ней поставщика ПО. Иногда гонорары выплачивают в рассрочку, при условии, что на момент каждого следующего платежа производитель ПО не нашел и не исправил уязвимость.
Цена эксплойта зависит как от распространенности использования взломанного ПО, так и от сложности самого взлома. Например, хакер, который открыл уязвимость в ПО, позволяющую ему установить контроль над компьютером под управлением Mac OSX, получит меньше денег, чем хакер, которому удалось взломать Windows, потому что у последней доля рынка значительно больше. С другой стороны, взлом iOS оплачивается более высоко, чем взлом Android, поскольку требует обхода более серьезных систем безопасности, установленных Apple. Так, за право эксклюзивно воспользоваться инструментом JailbreakMe 3.0, разработанным хакером Comex для джейбрейка iOS в прошлом году, государственные агентства были готовы заплатить $250 тыс.
Кто же платит такие суммы денег? Правительства западных стран, и особенно – Соединенных Штатов, говорит the Grugq. Он ограничивает круг покупателей американскими и европейскими госорганами не только из этических соображений, но и потому, что они больше платят. «Продажа уязвимости русской мафии гарантирует, что баг будет тут же пущен в ход, и они заплатят очень маленькие деньги, - так the Grugq объясняет, почему он не работает с российским правительством. - Россия наводнена преступниками. Они монетизируют уязвимости самыми жесткими и прямолинейными способами и постоянно обманывают друг друга».
Что касается Китая, то в стране слишком много хакеров, которые продают уязвимости только китайскому правительству, снижая цены. «Рынок очень застойный. Цены на хакерские услуги в других странах Азии и на Ближнем Востоке тоже не могут сравниться с западными», - комментирует Grugq.
80% своих доходов the Grugq получает от правительства США. «Это обычная продажа коммерческого программного обеспечения, она также нуждается в сопроводительной документации. Разница лишь в том, что вы продаете только одну лицензию. И за это все называют вас «злом», - говорит The Grugq.
Одним из самых громких критиков торговли уязвимостями является Крис Согониан (Chris Soghoian) из Open Society Foundations. Он называет торговцев кибервзломами «современными торговцами смертью», торгующих «пулями кибервойны». Согониан боится, что эксплойты, продаваемые правительствам, могут попасть в руки «плохих парней» и тогда под угрозой могут оказаться объекты инфраструктуры государств.
The Grugq не видит никакого этического конфликта в своей работе. «Китайцы ведут шпионаж в массовом масштабе. Согониан хочет запретить продажу программного обеспечения, то есть, простите, «эксплойтов» в США и Европу? Что ж единственный возможный результат такого запрета – наращивание внутреннего производства и оттачивание навыков китайских хакеров», - отвечает он на обвинения.
Можно ли продавать уязвимости самим разработчикам взломанного ПО? Такие фирмы, как Mozilla или Facebook, предлагают разработчикам несколько тысяч долларов за сообщение об уязвимости. Google обычно платит максимум $3 133 за нахождение самых сложных багов в своем ПО. Но четырехзначные цифры вряд ли способны удовлетворить такого продавца, как the Grugq. «Если они хотят, чтобы их ошибки были исправлены, они могут купить их по рыночным ценам, как и все остальные. У них есть адрес моей электронной почты», - говорит он.