После взлома Hacking Team внимание общественности также привлекли и малые компании, чьей основной сферой деятельности является покупка и продажа эксплойтов и уязвимостей. Одна из таких компаний, Netragard, на этой неделе объявила об уходе из бизнеса после того, как всплыл факт ее сотрудничества с Hacking Team. Сейчас же все внимание приковано к недавно созданной компании Zerodium, за которой стоят весьма известные люди.

Новую компанию учредил Чауки Бекрар (Chaouki Bekrar), основатель VUPEN — хорошо известного специалиста по продаже эксплойтов и уязвимостей. Легальность и этичность такого бизнеса неоднократно ставились под сомнение. В то же время VUPEN — одна из немногих компаний на этом рынке, которая сама занимается исследованиями и разработкой; она не скупает уязвимости или эксплойты из сторонних источников. И вот сейчас, когда к этой сомнительной сфере ИБ-бизнеса приковано внимание законотворцев, средств массовой информации и даже правительств, Бекрар решил создать новую компанию, основной деятельностью которой будет приобретение багов и эксплойтов.

Zerodium собирается сосредоточиться исключительно на покупке уязвимостей высокой степени опасности. Компания планирует использовать их для создания потока уязвимостей, эксплойтов и защитных решений, предоставляемых клиентам как услуга.

«Zerodium выплачивает ИБ-исследователям крайне щедрые награды за найденные эксплойты и уязвимости нулевого дня, актуальные для популярных операционных систем, приложений и/или устройств. В отличие от большинства существующих программ Bug Bounty, принимающих почти любые виды уязвимостей и PoC-эксплойтов, но при этом выплачивающих весьма скромные награды, нам в Zerodium интересны лишь уязвимости высокой степени опасности, имеющие рабочие и надежные эксплойты, за которые мы готовы выплачивать более крупные награды», — говорится на сайте компании.

Zerodium планирует приобретать уязвимости и эксплойты для распространенных платформ и приложений, включая Windows, OS X и Linux, четыре основных браузера, Flash и Reader, Microsoft Office, Android, iOS, BlackBerry и Windows Phone; а также для ведущих почтовых и веб-серверов. Компания не заинтересована в приобретении частично работающих эксплойтов или уязвимостей на веб-сервисах вроде Google или Twitter.

«Zerodium не занимается скупкой неэксплуатируемых или теоретически эксплуатируемых уязвимостей. Нас интересуют уязвимости нулевого дня, имеющие полноценный эксплойт вне зависимости от количества этапов атаки; к примеру, нам интересны эксплойты для браузеров, причем как с обходом песочницы или побегом из нее, так и без этих дополнительных техник», — подчеркивают в компании.

Представители компании также заявили, что готовы выкупать баги и эксплойты по завышенным ставкам, но лишь у исследователей, не попадающих под санкции ООН или США. Zerodium не уточняет, каким компаниям или организациям они готовы продавать свои услуги, но Бекрар уже не раз заявлял, что VUPEN продает эксплойты только правоохранительным структурам и правительствам стран, не числящихся в санкционных списках.

«Мы продаем эксплойты только демократическим странам. Компания, разумеется, действует исключительно в рамках международных нормативно-правовых актов и продает свою продукцию только доверенным странам с демократическим строем, — заявил Бекрар в интервью Threatpost еще в 2012 году. — VUPEN не продает эксплойты странам с деспотическими режимами».

VUPEN поддерживает службу подписки, позволяющую клиентам получать данные о новейших уязвимостях и эксплойтах багов нулевого дня. Среди клиентов компании числится АНБ США.

Спрос на уязвимости высокой степени опасности и эксплойты остается стабильным. Спецслужбы, правоохранительные органы и госучреждения многих стран мира продолжают пополнять свои арсеналы, и их как никогда интересуют бреши нулевого дня. Эксплойты для неразглашенных уязвимостей зачастую используются для компрометации целевых систем в рамках расследования или спецоперации, и это вызывает у общественности весьма неоднозначную реакцию, особенно в свете утечки из Hacking Team.

Категории: Уязвимости