Ряд российских компаний, которые специализируются на информационной безопасности, могут заработать на поиске уязвимостей операционных систем Android и iOS. C таким предложением к ним обратились люди от имени ассоциации ShenZhen Computer Users Association (SZCUA), которую эксперты «Коммерсанта» связывают с китайским правительством. По их мнению, уязвимости нужны Пекину для создания кибероружия.
От лица SZCUA, в составе которого несколько крупных китайских IT-компаний, выступает некто Роберт Невский, представившийся торговым представителем ассоциации в России. Известно, что он просил некоторых специалистов по информационной безопасности продать ему скрипты с уязвимостью нулевого дня (0day, бреши в защите, о наличии которых ещё не знают разработчики программного обеспечения). Эти программы часто используются для атак на вычислительные системы.
Письма от имени SZCUA российские IT-компании получили в августе, некоторым из них предложение поступило недавно.
Мы заинтересованы в покупке уязвимостей нулевого дня. Нам интересны os/cms/app/software/modems/office/browsers. На данный момент особенно интересны IE/modem/Android/iOS. Цена зависит от продукта. При первой сделке ценовой порог не превышает 100 тысяч долларов (цена обсуждается).
Выплаты в три этапа, первый — до получения продукта, второй — после получения и соответствующей проверки и третий — по истечении двух-трёх месяцев, чтобы убедиться, что эксплойт не был обнародован.
В сентябре аналогичные предложения получали британские компании, о чём их сотрудники писали в своих твиттерах. В беседе с «Коммерсантом» сооснователь конференции Steelcon Робин Вуд предположил, что эксплойты нужны китайцам для обеспечения государственных хакерских команд или для перепродажи на чёрном рынке.
Я проверил их, отправив им уже опубликованный эксплойт, и они ответили мне, что это не 0day. Они контактировали со мной несколько раз за последние 18 месяцев, а значит, это не просто какая-то группа, которая появилась и исчезнет через несколько недель.
Замдиректора по развитию бизнеса Positive Technologies Алексей Качалин добавил, что скрипты могут использовать в составе систем негласного съёма информации.
Часть купленного может идти для массовых систем, продаваемых на рынке спецсредств, вроде FinFisher, а наиболее интересные — припасены для собственных спецслужб и использованы в операциях, проводимых в интересах государства.
SZCUA в ответ на запрос «Коммерсанта» заявила, что «не ведёт бизнес и никогда не делала таких вещей». В ассоциации отказались подтвердить факт отправки писем компаниям и то, что её интересы в России представляет Роберт Невский. Сам он тоже отказался общаться с журналистами.
Рынок скупки и перепродажи «дыр» в программном обеспечении существует давно. Наиболее известные площадки — Zerodium, Zeronomicon, которые предлагают от 100 до 500 тысяч долларов за найденные бреши в защите iOS и Android.
В начале июня открылась первая в России биржа по продаже ошибок в программном обеспечении — Expocod. Созданная бывшим сотрудником Росфинмониторинга Андреем Шороховым платформа позволяет продавать без посредничества и анонимно уязвимости в Linux, Windows, OS X, Tor, браузерах Chrome, Internet Explorer и других программах.
Многие производители сами оплачивают дыры в их софте, найденные хакерами и просто энтузиастами. Apple в сентябре 2016 года объявила награду в 50 тысяч долларов за уязвимости в доступе к iCloud. За брешь, позволяющую добраться до компонентов кода безопасной нагрузки, размер вознаграждения достигает 200 тысяч долларов.
Компания Google неоднократно увеличивала размер выплат за найденные «дыры». Сумма варьируется в зависимости от важности ошибки и самого софта. К примеру, за год существования программы Android Security Rewards компания выплатила 550 тысяч долларов 82 исследователям. Средний размер премии составил 2,2 тысячи долларов.
совпадение
Knock knock, Neo
Довольно интересно, вот только сегодня у нас в универе Евгений Касперский отвечал на вопрос о кибервойнах и говорил, что многие правительства готовят свои кибервойска и вот тут новость такая интересная. Вообще хорошая кибератака может быть страшнее открытого военного конфликта.