Известный 0-day брокер, компания Zerodium, открыто опубликовала свои «тарифы» на уязвимости. В данном списке представлены десятки различных атак и техник, которые могут применяться к самым разным приложениям и системам. Эти суммы позволяют немного лучше понять странный и очень закрытый рынок продажи эксплоитов.
«Первое правило 0-day бизнеса: никогда не обсуждать цены публично. И знаете что? Мы решили опубликовать наш список “закупочных цен”», — сказал Чауки Бекрар (Chaouki Bekrar), глава компании Zerodium и соосноватеь Vupen, журналистам издания Wired. К сожалению, Бекрар отказался от дальнейших комментариев и не стал пояснять, почему компания приняла решение обнародовать цены, и почему это было сделано именно сейчас.
В целом прайс-лист Zerodium выглядит так:
К примеру, за удаленный перехват контроля над компьютером жертвы через Safari или IE компания готова заплатить $50 000. Более сложной «точкой входа» считается Chrome: за атаку через него Zerodium платит $80 000.
Список цен, как можно видеть, не ограничивается одними браузерами. Так, уязвимости в WordPress, Joomla или Drupal ценятся очень низко: всего $5000 за штуку. Зато на взломе TorBrowser можно заработать порядка $30 000. Последняя сумма выглядит особенно забавно в свете недавних обвинений, которые руководство Tor Project обрушило на ФБР и ученых из университета Карнеги-Меллона. Разработчики Tor убеждены, что ФБР заплатило исследовательской группе университета не менее миллиона долларов за взлом Tor. Похоже, спецслужбы сильно переплатили.
Удаленный эксплоит, который позволит обойти защиту Android или Windows Phone, принесет своему автору $100 000. А вот iOS выступает безусловным лидером списка: за рабочий эксплоит для «яблочной» ОС компания готова заплатить $500 000.
Если кого-то удивляет сумма в полмиллиона долларов за взлом iOS, напомню, что в сентябре 2015 Zerodium объявила конкурс, заявив, что заплатит хакерам миллион долларов, если те сумеют обнаружить 0day в iOS 9 и предоставить работающий эксплоит. В начале текущего месяца стало известно, что приз нашел своего победителя – группа исследователей, пожелавших остаться неизвестными, выполнила все условия компании и забрала самое большое bug bounty вознаграждение в истории. Представители Zerodium назвали это «разовой акцией», то есть взлом iOS 9 был интересен компании именно до конца октября. Теперь проблема, очевидно, утратила острую актуальность, и ценник упал вдвое.
Ранее Чауки Бекрар и французская компания Vupen работали в основном с правительственными агентствами, спецслужбами и крупными корпоративными клиентами, продавая уязвимости им. Среди клиентов Vupen числилось АНБ, ФБР, страны НАТО, а также «их партнеры», которых Бекрар отказался называть. Деятельность компании Zerodium, в целом, аналогична.
Обе компании многократно подвергались жесткой критике. Так, ведущий специалист Американского союза защиты гражданских свобод (ACLU) Крис Согоян (Chris Soghoian), еще в 2012 году, назвал Бекрара «современным торговцем смертью, продающим патроны для кибервойны». Он обвинил Vupen в том, что компания умышленно закрывает глаза на то, в чьих руках в итоге окажутся эксплоиты, и какие репрессивные режимы будут использовать их для слежки за своими гражданами.
Фото: Pictures of Money
https://xakep.ru