 Продажа эксплойтов
государственным
спецслужбам
Журнал Forbes
опубликовал подробное досье на компанию Vupen,
которая занимается открытой продажей эксплойтов разведывательным
агентствам и государственным спецслужбам. Французская фирма попала в
поле зрения публики две недели назад после победы на последнем конкурсе
Pwn2Own, когда показала эксплойт для Chrome и отказалась передавать его в
Google, чтобы «сохранить для своих клиентов». То есть компания
добровольно отказалась от награды $60 000, которую предлагала компания
Google. Исполнительный директор компании Чауки
Бекрар (Chaouki Bekrar) сказал
в интервью Forbes, что не передал бы информацию в Google даже за
миллион долларов, потому что в этом случае Google немедленно закроет
уязвимость в браузере. Как выяснилось, клиенты Vupen оплачивают
годовую подписку стоимостью
100 тысяч долларов только за то, чтобы быть в курсе последних
эксплойтов, разработанных хакерами Vupen. В случае необходимости,
клиенты могут за дополнительные деньги купить
право на использование нового инструмента. Это очень ценный товар,
позволяющий осуществлять скрытую слежку за подозреваемыми, проникновение
в компьютерную сеть противника и так далее. Компания Vupen тщательно
выбирает клиентов и якобы не продаёт эксплойты диктаторским режимам или в
Россию, а только спецслужбам и силовым структурам стран НАТО, как
указано на их сайте. Например, одним из их клиентов является немецкая
полиция. В арсенале Vupen есть эксклюзивные эксплойты для всех
существующих браузеров, а также для iOS, Android, Adobe Reader и
Microsoft Word. Чауки Бекрар говорит, что продажа эксплойтов
сродни продаже оружия.
Хотя вы тщательно выбираете покупателей среди «хороших» парней, но
нельзя гарантировать, что эксплойт не будет использован где-нибудь в
диктаторской стране для слежки за представителями политической
оппозиции. Аналитическая компания Frost &
Sullivan присудила Vupen первое
место в конкурсе 2011 Entrepreneurial Company of the Year, то есть их
назвали самым перспективным бизнесом 2011 года. Действительно, если
учитывать постоянно растущий спрос на 0day-эксплойты, компания может
зарабатывать большие деньги как крупнейший в мире разработчик и
поставщик эксплойтов. Vupen не покупает новые
0day-эксплойты у независимых хакеров, а нанимает хакеров на работу,
получая миллионы долларов от своих клиентов. При этом клиент даже не
рассчитывает на эксклюзив, а Vupen имеет право перепродавать эксплойты
противоборствующим сторонам, классическим способом обогащаясь на «гонке
вооружений». Проблема в том, что после продажи эксплойта
компания Vupen не может
контролировать, с какой целью клиент использует это «оружие». Возможно,
это противозаконные действия и нарушения прав человека. Проблема
аналогична той, с которой столкнулся американский производитель
оборудования для слежки и наблюдения Blue Coat Systems, который продал
крупную партию товара фирме в Объединённых Арабских Эмиратах, а потом
это оборудование всплыло в Сирии и использовалось правительством для
слежки за политическими
оппонентами. Vupen - не единственный брокер эксплойтов на
мировом рынке. Кроме
неё, покупкой эксплойтов у независимых хакеров с целью перепродажи
занимаются некоторые другие компании, в том числе Netragard, Endgame,
Northrop Grumman и Raytheon. Но они этой делают максимально скрытно в
обстановке абсолютной секретности. Компания Vupen отличается тем, что
ведёт бизнес с размахом и не отказывается от такого пиара, как участие в
хакерских конкурсах. Сами они называют это «прозрачностью», но
независимые эксперты подбирают другие эпитеты: наглость или бесстыдство
(слова Кристофера Согояна). На фотографии внизу изображён Grugq, хакер
родом из Южной Африки,
который живёт в Бангкоке и работает как независимый брокер
хайенд-эксплойтов. Он использует свои старые хакерские связи и работает
как посредник, покупая эксплойты у хакеров и продавая их государственным
агентствам. Grugq берёт комиссию 15% и уверяет, что только в декабре
продал эксплойтов на 250 тысяч долларов - мол, в конце года бюджетные
организации особенно щедры.
|
