ИНФОРМАЦИОННЫЙ ПОРТАЛ
Ваш путеводитель в мире IRC и ИТ-технологий!

Мир IT стремительно меняется, следите за новинками в сфере IT вместе с нами. Главные новости и события мира информационных технологий, обзоры гаджетов и софта, мнения экспертов о новинках - на нашем сайте.

 

ВСЯКОЕ

ПРАЙС-ЛИСТ ДЛЯ ХАКЕРА, ИЛИ СКОЛЬКО СТОИТ ВЗЛОМ

19 Октября 2013

Хакер The Grugq выступает посредником между хакерами и правительствами разных стран. Он рассказал журналу Forbes подробности своего бизнеса. На основе его данных был составлен уникальный прайс-лист на хакерские услуги.

«Руформатор» представляет перевод статьи Энди Гринберга (Andy Greenberg) из Forbes.

Умный хакер сегодня сталкивается с непростым выбором. Найдите ранее неизвестную уязвимость в iPhone или iPad и вы сможете сообщить об этом компании Apple и представить результаты своей работы на конференции по безопасности, чтобы добиться известности и прибыльных контрактов в сфере консалтинга. Другой вариант – вы можете поделиться своим успехом с Zero Day Initiative и заработать тыс. Оба варианта позволят Apple исправить свои ошибки и сделать жизнь сотни миллионов пользователей iPhone и IPad более безопасной.

Но любой, кто знаком с хакером, известным под ником «the Grugq», получает третью опцию: провернуть сделку через анонимного брокера, продав информацию об уязвимости государственному агентству за миллион долларов (минус 15% комиссии для «the Grugq»).

Хакер the Grugq начал заниматься посредничеством между хакерами и правительством в этом году, и за короткий срок провернул уже несколько десятков сделок. Он говорит, что в этом году ожидает заработать около миллиона долларов.

Даже несмотря на то, что с каждого миллионного контракта он получает 0 тыс, the Grugq считает, что занизил стоимость своих услуг. «Клиент был слишком счастлив», - комментирует он свою точку зрения. Шестизначные суммы за один-единственный взлом могут показаться чересчур раздутыми, но на самом деле это нормальная практика. На основании разговора с участниками этой скрытной, но законной торговли, я составил примерный прайс-лист на эксплойты «нулевого дня».

Эти цены предполагают, что ваш товар эксклюзивен, что уязвимость была найдена в самой последней версии программного обеспечения и что вы не предупреждали о ней поставщика ПО. Иногда гонорары выплачивают в рассрочку, при условии, что на момент каждого следующего платежа производитель ПО не нашел и не исправил уязвимость.

Цена эксплойта зависит как от распространенности использования взломанного ПО, так и от сложности самого взлома. Например, хакер, который открыл уязвимость в ПО, позволяющую ему установить контроль над компьютером под управлением Mac OSX, получит меньше денег, чем хакер, которому удалось взломать Windows, потому что у последней доля рынка значительно больше. С другой стороны, взлом iOS оплачивается более высоко, чем взлом Android, поскольку требует обхода более серьезных систем безопасности, установленных Apple. Так, за право эксклюзивно воспользоваться инструментом JailbreakMe 3.0, разработанным хакером Comex для джейбрейка iOS в прошлом году, государственные агентства были готовы заплатить 0 тыс.

Кто же платит такие суммы денег? Правительства западных стран, и особенно – Соединенных Штатов, говорит the Grugq. Он ограничивает круг покупателей американскими и европейскими госорганами не только из этических соображений, но и потому, что они больше платят. «Продажа уязвимости русской мафии гарантирует, что баг будет тут же пущен в ход, и они заплатят очень маленькие деньги, - так the Grugq объясняет, почему он не работает с российским правительством. - Россия наводнена преступниками. Они монетизируют уязвимости самыми жесткими и прямолинейными способами и постоянно обманывают друг друга».

Что касается Китая, то в стране слишком много хакеров, которые продают уязвимости только китайскому правительству, снижая цены. «Рынок очень застойный. Цены на хакерские услуги в других странах Азии и на Ближнем Востоке тоже не могут сравниться с западными», - комментирует Grugq.

80% своих доходов the Grugq получает от правительства США. «Это обычная продажа коммерческого программного обеспечения, она также нуждается в сопроводительной документации. Разница лишь в том, что вы продаете только одну лицензию. И за это все называют вас «злом», - говорит The Grugq.

Одним из самых громких критиков торговли уязвимостями является Крис Согониан (Chris Soghoian) из Open Society Foundations. Он называет торговцев кибервзломами «современными торговцами смертью», торгующих «пулями кибервойны». Согониан боится, что эксплойты, продаваемые правительствам, могут попасть в руки «плохих парней» и тогда под угрозой могут оказаться объекты инфраструктуры государств.

The Grugq не видит никакого этического конфликта в своей работе. «Китайцы ведут шпионаж в массовом масштабе. Согониан хочет запретить продажу программного обеспечения, то есть, простите, «эксплойтов» в США и Европу? Что ж единственный возможный результат такого запрета – наращивание внутреннего производства и оттачивание навыков китайских хакеров», - отвечает он на обвинения.

Можно ли продавать уязвимости самим разработчикам взломанного ПО? Такие фирмы, как Mozilla или Facebook, предлагают разработчикам несколько тысяч долларов за сообщение об уязвимости. Google обычно платит максимум 133 за нахождение самых сложных багов в своем ПО. Но четырехзначные цифры вряд ли способны удовлетворить такого продавца, как the Grugq. «Если они хотят, чтобы их ошибки были исправлены, они могут купить их по рыночным ценам, как и все остальные. У них есть адрес моей электронной почты», - говорит он.

ЕЩЕ ПО ТЕМЕ:

В ЯПОНИИ ЗАВЕРШИЛИСЬ ВЫБОРЫ В ВЕРХНЮЮ ПАЛАТУ ПАРЛАМЕНТА

22.07.2013

На нынешний момент еще идет подсчет голосов, однако есть предварительная информация о том, что имеет преимущество по голосам правящая коалиция, состоящая из партии «Новая Комэйто» и «Либерал-демократической партии». Коалиция...

ДЕВЯТЬ АЛЬТЕРНАТИВ INSTAGRAM

25.09.2013

Известие о покупке соцсетью Facebook популярного фотоприложения Instagram заставило многих задуматься о плане отступления. На какое приложение перейти, если столь близкое соседство с детищем Марка Цукерберга вас не устраивает?

GOOGLE ВЫПУСТИЛА ANDROID SDK 0.9

11.10.2013

Разработчики мобильных приложений для пока еще разрабатываемой открытой операционной системы Google Android получили в свое распоряжение новый инструмент - Android SDK 0.9. Новая версия версия набора для разработчиков стала еще ближе с технической точки к финальному релизу.

МОЗГОВЫЕ ПРОТЕЗЫ И ПРОЧИЕ АРГУМЕНТЫ ПРОТИВ «ЧЕЛОВЕК ИЗ МЯСА — ЭТО ЗВУЧИТ ГОРДО»

26.07.2013

Недавно мне задавали вопросы про электронные мозговые протезы — насколько это может быть реально? Вот несколько пруфлинков: — главная статья с подробным описанием эксперимента на приматах — тут (результаты мая 2012-го); — веб-сайт тамошней тусовки (безнадёжно устарел: самый свежий материал там — от 2008 годв); — тема Brain-computer Interfaces and Neural Prostheses в ключевых словах конференции 2013 года по нейронным информационным системам.