NSS Labs: уязвимости нулевого дня должна скупать международная организация

image

Теги: эксплоит, zero-day, уязвимость

Уязвимость нулевого дня должна стоить $150 тысяч долларов.

Во вторник, 17 декабря, компания NSS Labs опубликовала на своем сайте документ-инициативу, направленный на создание международной организации, которая бы занималась скупкой уязвимостей нулевого дня по ценам, выше «рыночных». Эксперты считают, что покупка ранее неопубликованных уязвимостей будет экономически выгодной прежде всего производителям уязвимого ПО.

В 20-страничном исследовании эксперты компании демонстрируют текущую ситуацию на рынке эксплоитов и патчей и аргументируют, что покупка уязвимостей нулевого дня по цене в $150 тысяч долларов за штуку будет выгодной всем.

В настоящий момент 60% - 80% уязвимостей обнаруживают волонтеры (это частные лица или компании), которые передают безвозмездно информацию производителям. Остальная часть уязвимостей продается, как правило, на черном рынке. Иногда эти уязвимости скупают компании, специализирующиеся на продаже эксплоитов. Это в частности EndgameSystems, VUPEN, ReVuln, Exodus Intelligence и Netragard, которые продают до 100 эксплоитов в год.

Эти компании не раскрывают информацию о своих клиентах, однако достоверно известно, что частыми покупателями эксплоитов становятся спецслужбы различных стран. В качестве примера исследователи приводят стоимость подписки на 25 эксплоитов компании Endgame Systems, которая составляет 2,5 млн долларов в год. Таким образом, согласно ценам за 2010 год, стоимость одного эксплоита колебалась от $40 до $160 тысяч долларов.

Исследователи считают, что $150 тысяч за уязвимость нулевого дня – это именно та сумма, которая позволит практически уничтожить черный рынок эксплоитов и повысить в целом безопасность организаций по всему миру. Многие исследователи и хакеры, которые профессионально занимаются поиском и продажей уязвимостей согласятся официально продавать свой интеллектуальный труд за адекватное вознаграждение.

Более подробно с отчетом NSS Labs можно ознакомиться здесь.


или введите имя

CAPTCHA