На первый взгляд - рядовое событие: французская компания Vupen, которая занимается исследованиями в области безопасности, отказалась принимать участие в конкурсе Google Pwnium и зарегистрировалась вместо этого на мероприятии Pwn2Own. Многие приписали бы это событие обыкновенной взаимной неприязни: бывали уже инциденты выяснения отношений между поисковым гигантом и Vupen. Однако, по мнению Forbes ответ может оказаться совершенно иным.
Всем известно, что за взлом своего обозревателя Chrome Google обещает премии. Однако, если хакеру удается провести атаку, для получения вознаграждения он должен предоставить полную информацию о применяемых методах. Но Vupen такие условия не устраивают.
Энди Гринберг, журналист Forbs пишет в своем блоге, что хакеры отказались от участия в конкурсе не только из-за желания оставить все свои секреты при себе, но и потому, что сумма обещанных выплат оказалась намного меньше той, которую они могли бы извлечь, продав эксплойты правительственным агентствам.
«Даже если Google предложила бы миллион долларов за описание найденных изъянов и методов атак, мы бы отказались, поскольку такую информацию мы предоставляем только нашим заказчикам», - заявил глава Vupen Чауоки Бекрар. Естественно, точную стоимость он не назвал, однако, по мнению экспертов, информация об эксплойтах для zero-day уязвимостей стоит в 10, а то и в 100 раз больше, нежели может предложить софтверная компания.
Аналитическая компания Frost & Sullivan провела расследование, в результате которого выяснилось, что годовая подписка с возможностью доступа к «банку знаний» Vupen стоит $100,000 (75,000 EUR). В их хранилище представлена полная информация о любой zero-day уязвимости, включая методы атак на Microsoft Word, Adobe Reader, Android, iOS, любой обозреватель и прочие программные продукты.
Важно отметить, что за эту стоимость хакеры не предоставляют эксклюзивных прав на свою продукцию, но при этом один эксплойт может быть продан различным правительственным агентствам. Используя подобную бизнес-модель, они буквально стравливают своих клиентов друг против друга, стараясь таким образом разогреть гонку кибер-вооружений.
По словам Бекрара, компания тщательно охраняет информацию о своих заказчиках и эксплойты продаются только компаниям из стран НАТО и их партнерам. У компании есть свои правила, согласно которым каждый заказчик рассматривается индивидуально и отношения не оформляются с представителями «недемократических государств». Он также отметил, что с каждым заказчиком заключается договор, в рамках которого клиент не может передать или перепродать полученные из «банка знаний» данные. Однако Бекрар признал то, что существует вероятность того, что эта информация может попасть «не в те руки».
В ответ на это, активист в области конфиденциальности Кристофер Согойан, назвал это «современной торговлей смертью», поскольку они продают «оружие для кибервойны». По его мнению, после того как эксплойт был продан, он исчезает, и никто не знает каким образом он используется: во благо или во вред. Да, и вполне возможно, что Vupen не хотят этого знать.
Конечно, Vupen не единственная компания, которая решила построить себе бизнес-модель подобного рода: есть и более крупные сетевые проекты, ориентированные на монетизацию изъянов в программном обеспечении. Такие организации, в сущности, занимаются прямым шантажом, направляя производителям программного обеспечения уведомления об обнаружении множества критических ошибок в их продуктах и предлагая заплатить крупную сумму денег за раскрытие подробной информации об изъянах. Французская фирма, впрочем, пошла еще дальше: о передаче данных разработчикам уязвимых продуктов она и не думает. Нечего и говорить о том, что цитируемые Гринбергом заявления Чауки Бекрара отдают явным цинизмом: nothing personal, just business.
