NY Times: правительства заинтересованы в 0day

    Тема использования уязвимостей нулевого дня для операций, проводимых с ведома государственных структур и с привлечением специальных security-компаний или подрядчиков, работающих на них, становится все более популярной и, отчасти, менее информативной. Популярной, поскольку эта информация уже не один год муссируется в СМИ, а менее информативной, поскольку, ведущиеся проекты засекречены и никто не заинтересован в их раскрытии, так как на таких контрактах замешаны большие деньги. Одной из причин актуальности этой темы является связь таких уязвимостей с появлением угроз, которые стали именоваться как «кибероружие» (cyberweapon). Связь заключается в том, что обнаружение этих уязвимостей происходило с расследованием случаев попадания угрозы на компьютеры жертвы. Очевидно, что кибероружие обнаруживают крупные AV-компании, вернее, изначально его может обнаружить и небольшая AV-компания, но причислить угрозу к кибероружию, по-сути, могут только крупные компании с соответствующим опытом, крупными заказчиками и видением ландшафта угроз. Такие названия как Stuxnet, Flame известны уже почти всем, кроме этого, в рамках таргетированных кампаний, используются и обычные вредоносные программы, которые могут быть «переориентированы» для своих целей.

    Одним из важнейших атрибутов таргетированной атаки или кибероружия может считаться использование 0day уязвимостей, которые используются для скрытной установки вредоносного ПО в систему. Информация, которая стала появляться последние несколько лет как от самих AV-компаний, которые занимаются случаями расследований попадания угроз на компьютеры, так и от других security-компаний, занимающихся безопасностью, недвусмысленно намекает на то, что имеет место использование 0day уязвимостей в атаках, проводимых под прикрытием органов государственной безопасности конкретных государств, и с разрешения правительства. Об организациях, которые предоставляют подобные услуги, а также объяснение некоторых моделей подобного бизнеса, опубликовала статью газета NY Times, информацию из которой, с нашими комментариями, мы хотели бы привести.

    ReVuln
    http://revuln.com/
    https://twitter.com/revuln



    Расположение: штаб-квартира в Мальте.

    Профиль: исследование уязвимостей в ПО, ICS (АСУ) и предоставление информации о них клиентам (по подписке). Заказчиками являются крупные организации, включая, Агенство Национальной безопасности (АНБ).

    VUPEN
    http://www.vupen.com/
    https://twitter.com/VUPEN



    Расположение: Франция, Монпелье.

    Профиль: исследование уязвимостей в ПО, разработка эксплойтов. Работает, в т. ч., с крупными организациями и организациями, работающими на правительства разных стран (по их же словам). Подписка $100k.

    Exodus Intelligence
    https://www.exodusintel.com/
    https://twitter.com/ExodusIntel



    Расположение: США, Остин (TX).
    Профиль: исследование «эксклюзивных» уязвимостей в ПО, разработка эксплойтов.

    Netragard
    http://www.netragard.com/
    https://twitter.com/Netragard



    Расположение: США, Массачусетс.
    Профиль: тестирование на проникновение (penetration testing), исследование уязвимостей.

    Разумеется ни одна из этих компаний не будет раскрывать имена своих заказчиков. Шауки Бекрар (CEO VUPEN) сказал, что их компания не занимается продажей эксплойтов для стран, которые имеют проблемы или конфликты (наложено эмбарго) со странами Европы и США.

    Полемика по этому вопросу может сводиться к высказыванию Howard Schmidt (бывший координатор группы, занимающейся кибербезопасностью белого дома) — «Для того, чтобы защитить свою страну нужно найти уязвимости в других странах. Но проблема заключается в том, что мы все становимся менее безопасными.». В соответствии с данными, которые опубликовал Эдвард Сноуден, компании, работающие с правительством США были одними из покупателей 0day уязвимостей. По данным центра «стратегических и международных исследований» в Вашингтоне, такие государства как Россия, Великобритания, Израиль, Индия являются особенно заинтересованными странами в этом вопросе.

    Сам по себе поиск уязвимостей в современных веб-браузерах и другом ПО является довольно прибыльным для ресерчеров, хотя и очень трудоемким. Такие крупные компании как Google, Microsoft и Facebook имеют специальные программы «bug bounty», которые регламентируют цену за обнаружение опасной уязвимости (как правило, уязвимость, которая может использоваться для удаленного исполнения кода). Microsoft совсем недавно запустили свою программу «bug bounty» и уже выплатили первые $50k ресерчеру Ivan Fratric за ценную информацию в рамках «BlueHat Bonus for Defense» (им была представлена система обнаружения и предотвращения ROP техник в эксплойтах — ROPGuard).



    Google с начала открытия своей программы «bug bounty» в 2010 г. выплатили ресерчерам более $3 млн. за поиск уязвимостей в веб-браузере Chrome. Facebook открыл похожую программу в 2011 г. и выплатил более $1 млн. Следует отметить, что Apple, в отличие от других компаний, не имеет подобной программы. Но уязвимости для iOS являются одними из самых дорогих. В одном из случаев уязвимость для iOS была продана за $500 тыс.

    Есть и другие важные, но куда менее заметные игроки на арене продажи и исcледования 0day для правительства США, например, стартап Endgame (Виргиния, США). С ней тесно связан бывший директор АНБ. Компания специализируется в разработке ряда специальных программных инструментов, которые она продает в первую очередь для правительства США и которые могут быть использованы в борьбе с кибершпионажем, а также в наступательных целях.

    Таким образом, речь идет о рынке по продаже различного рода уязвимостей, эксплойтов и иных средств, которые могут быть использованы как в наступательных, так и оборонительных целях (offensive/defensive). Заказчиками выступают правительства, а продавцами security-компании. Шауки Бекрар указывает, что в результате увеличения спроса на этом рынке, цена на такие услуги, фактически, удваивается каждый год.

    www.nytimes.com/2013/07/14/world/europe/nations-buying-as-hackers-sell-computer-flaws.html

    ESET NOD32

    84,00

    Компания

    Поделиться публикацией

    Похожие публикации

    Комментарии 18
    • НЛО прилетело и опубликовало эту надпись здесь
        +7
        Ну я понял тезис так — запад, а точнее США, активно накачивает рынок эксплойтов баблом… причем рынок этот работает на США…

        А вот что значит Ваше утверждение про школьные штанишки не вполне ясно… аргументировать надо бы…
          +1
          > США, активно накачивает рынок эксплойтов баблом

          Что интересно, от этого никому не становится хуже:
          исследователям, брокерам и их заказчикам — сплошной профит;
          производителям ПО — традиционно наплевать (что десять лет назад, что сейчас);
          простые пользователи — их вся эта движуха не касается и, вероятно, не коснется;
            0
            Конечно, ну только если не выставлять гос-ва которые НЕ дрцжественны США, но так же хотят создать «кибер-войска» и быть «на уровне». Выбор у них такой — либо «вписываться» в гонку, а так как экономика тут на самом деле более рыночная, чем где либо, то нужно вбухивать тоже не мало бабла. Либо забить и пытаться жить без «кибер-оружия» или довольствоваться меньшим кол-вом и более худшим качеством онного. ИМХО, тема для распила бабла очень не плохая ;)
              0
              хотят создать (с)
              Я бы исправила будущее время на настоящее.
                +3
                > нужно вбухивать тоже не мало бабла

                Все относительно.
                Если ориентироваться по текущим рыночным ценам на 0day эксплойты и уровне оплаты труда — то за стоимость одного современного истребителя можно сделать целую пачку Stuxnet-ов :)
                  0
                  Все верно. но StuxNet, это не просто истребитель — это команда спецов, менеджмент, координаторы операций — куча талантов и умений, + инфраструктура и опыт. Ок, бекдоры под винду мы писать умеем, искать 0дей в браузерах и ядре то же… и деньги на этот есть, но этого все равно мало… Но вот интересно у нас кто-нить фаззит baseband для топовых мобильных устройств и создает ли боевые SMS->Backdoor/GSM->Backdoor атаки под топ модели девайсов? Вообще есть люди которые это могут делать? Я не сомневаюсь, что отдельные люди и таланты есть, но так, что бы это было на потоке «во благо Родины» — не очень-то верится, тогда как почти уверен, что в США это делают. А если прикинуть, что AMD, Intel, QualComm и тд и тп — Американцы, и мы точно знаем, что их амбиции и проекты достаточно «дерзкие», то можно предположить, что перевес явно не на нашей стороне и одними бюджетами тут не отмазаться 8(

                  P.S. Говоря «Мы» — это я про Родину! Сам я вне политики и всяких там «кибер-войн», это так что бы кто что не подумал… просто хочется, что бы был баланс сил, хотя я еще верю в Китай 8))
                    0
                    Я не сомневаюсь, что отдельные люди и таланты есть, но так, что бы это было на потоке «во благо Родины» — не очень-то верится


                    Э, ну так эту претензию нужно «родине» адресовать, а не абстрактым спецам-безопасникам. Будут бюджеты — будут технологии.
                0
                +1,

                Глаз тоже сразу зацепился за фразу про бабло.

                В масштабах государства собрать бригаду высококлассных ресерчеров-0д-прив8-писателей, с точки зрения денежных затрат — задача копеечная, по большей части все упирается чисто в организационные проблемы.

                С одной стороны — государственные кабинетные мужи пока еще далеки от разработки и проведения каких-либо разведовательных/наступательных кибер-операций и в недостаточной мере четко представляют себе кого конкретно искать-вербовать, какие задачи перед этими людьми ставить, где именно, с какой конечной целью и как конкретно применять имеющийся потенциал. C другой стороны — underground ub3r-l33t представители, которые в свою очередь далеки от мышления в плоскости решения государственных задач и либо находят себе применение и достойный профит в кибер-криминальных кругах, либо просто-напросто по натуре своей те еще Перельманы и им вообще ничего кроме копания в коде ради копания в коде не нужно.

                Вот и получается не кибер-отряд, а лебедь, рак и щука и вопрос бабла тут имхо не стоит совершенно.
                  +1
                  underground ub3r-l33t представители, которые в свою очередь далеки от мышления в плоскости решения государственных задач

                  Боюсь, что они далеки от мышления в плоскости любых задач. В технологическом плане современная malware крайне примтивна (для хорошей окупаемости в массовых атаках не нужно никакого rocket science), о каких технологиях вообще может идти речь, если 99.9% троянов раздаются 1day эксплойтами, большая часть из которых рипнута из Metasploit и прочих публичных источников as is?
                    0
                    Тот факт, что подавляющая часть современной malware не является плодом высокого полета инженерной мысли еще не говорит о том, что ее производители все до одного лопухи, а лишь показывает то, что подобных «технологий» вплоне себе хватает, чтобы эффективно долбить не только home-users, проводя массовые атаки, но и куда более серьезные targets с точечным ударом. Будут иные задачи, будет нужна в более технологических решениях — уверен в том, что они будут.
                      0
                      99.9% троянов раздаются 1day эксплойтами

                      Если речь идет о массовых атаках, то для хулиганов это самое рациональное решение, иначе и быть не может. Ну не 0д/прив8 же для этого применять — аверы спалят на раз и будет тот же 1day паблик.
                      0
                      К тому же, думать о государственных задачах должно государство, а не хакеры. Хакеры могут предоставлять технологии и продукты при наличии материального и исследовательского интереса.
                        0
                        Вот в том то и проблема и беда, что на данный момент в.ру государство со своими бюджетами и хакеры с их потенциалом находятся в разных системах координат, а ведь могло бы быть всем хорошо.

                        Достаточно плотно слежу за тем, как этими вопросами занимается у себя USA, и нужно отметить, что достаточно неплохо у них все эти процессы организованны. Как бы не пришлось нам в ближайщем будущем плакать крокодильими слезами из-за упущенных времени и возможностей.
                0
                Неужели, крупные правительственные организации, не могут сами создать отделы, по поиску 0-day?
                  0
                  Похоже, что отдать на аутсорс экономически эффективнее.

                  Кстати, написание малвари криминализовано во многих государствах, так что работающим на государство нужно дважды подумать — в случае чего их зачистят, причём по закону.
                    0
                    100% не зачистят.

                    В малварю вбухано бабло. Если сливать чела за то, что он написал ТЕБЕ малварю, то
                    1) Палишь продукт, бабло вложенное в проект фактически улетело в никуда…
                    2) Теряешь кадр, и репутацию как работодатель
                    3) Придется как заказчику сесть и самому…

                    Работают люди там вполне законно, так что это у Вас просто паранойя.
                      0
                      > Кстати, написание малвари криминализовано во многих государствах

                      Это очень тонкий вопрос :) Здесь большую роль играют двойные стандарты и проблемы терминологии.
                      Например, модули полезной нагрузки которые идут в комплекте с Metasploit, Immunity CANVAS и прочими официально продаваемыми инструментами пентестера — вполне себе malware.
                      Так же существуют компании которые продают бут/биос/и пр. руткиты, позиционируя их как средство для отслеживания украденых ноутбуков.
                      Решений для скрытого удаленного мониторинга активности сотрудников за рабочими машинами — и вовсе не счесть (тоже вполне себе malware/spyware по всем техническим характеристикам).

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое