Переписка Hacking Team дает представление о работе рынка эксплоитов для уязвимостей нулевого дня

image

Теги: Hacking Team, уязвимость нулевого дня, эксплоит

Компания испытывала трудности в поиске продавцов, согласных иметь с ней дело.

ИБ-эксперт из Нью-Йорка Влад Цирклевич (Vlad Tsyrklevich) провел исследование черного рынка эксплоитов для уязвимостей нулевого дня, основываясь на данных, утекших в результате атаки на Hacking Team. По словам эксперта, электронные письма итальянского поставщика шпионских инструментов дают хорошее представление о текущей стоимости эксплоитов, условиях продаж и покупателях.

К примеру, цена на инструмент Starlight-Muhlen, который Hacking Team хотела приобрести, составляла $100 тыс. По данным одного из продавцов, стоимость эксклюзивного эксплоита для iOS могла достигать $500 тыс.

То, что эксплоиты для уязвимостей нулевого дня стоят от $5 тыс. до $500 тыс. – давно известный факт. Тем не менее, переговоры по поводу их покупки заставляют по-другому взглянуть на ценность брешей нулевого дня. Hacking Team приобретала эксплоиты в рассрочку, выплачивая сумму по частям в течение двух-трех месяцев, на тот случай, если уязвимость вдруг будет раскрыта, производитель выпустит патч, и стоимость ее снизится.

По словам Цирклевича, документы позволяют сделать определенные выводы по поводу тех или иных средств для обеспечения безопасности. К примеру, Hacking Team постоянно требовались новые эксплоиты для компрометации песочниц. Компания жаловалась на бесполезность инструментов для их обхода, из чего можно сделать вывод, что песочницы – весьма эффективное средство защиты ПО.

Что интересно, судя по электронной переписке, Hacking Team испытывала трудности в поиске продавцов, согласных иметь с ней дело. Так, многие предпочитали сотрудничать с правоохранительными органами напрямую и отказывались от посредников. Компания занялась поисками уязвимостей нулевого дня в 2009 году, и, похоже, что за шесть лет смогла приобрести только пять – три бреши в Adobe Flash, уязвимость локального повышения привилегий и обхода песочницы в Windows и брешь в Adobe Reader.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.