Почем эксплойт?

Почем эксплойт?
Думаю, что многие читатели нашего блога уже видели эту новость, но не поделиться ею здесь с вами я, тем не менее, попросту не могу. Она просто захватила моё воображение. Я, конечно, знал, что эксплойты стоят недешево, но не знал, насколько. Теперь всерьез подумываю о том, что поиск эксплойтов может оказаться гораздо более прибыльным делом, чем аналитика в сфере защиты данных от утечек:)
Итак, вот оно:



Опубликован прайс-лист за эксплойты для 0-day уязвимостей 
Думаю,  комментарии тут излишне, разве что стоит дать ссылку на саму новость. Самое интересное здесь в том, что цены здесь приведены для продажи эксплойтов не абы кому, а госорганам. Понятно, что они покупают эксплойты для того, чтобы потом выпустить вредоносный код, участвующий в кибервойнах. Думаю, что цены на черном рынке, где эксплойты скупают спамеры и ботоводы, несколько ниже, хотя вряд ли намного. Но дело тут, конечно, не в том, кому продавать, а в том, кому не продавать.
Правильно, не продавать тому, кто этот софт написал. Потому что если ты выгодно "толкнул" эксплойт, то тебе совсем не интересно делать так, чтобы кто-то закрывал уязвимость. Не то чтобы был страх того, что деньги потребуют назад - просто в следующий раз новый не купят. А сами разработчики софта вряд ли смогут выкладывать такие суммы за собственные промахи.
В общем, перспектива для информационной безопасности не очень радужная - уязвимости закрывать невыгодно. Не для производителя софта, конечно, а для того, кто их находит. Так что эра уязвимостей будет продолжаться ещё очень долгое время...
Р. Идов,
аналитик компании SearchInform
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.