Лицевая сторона медали
Баг, дырка, уязвимость, сплойт — ох уж эти милые хакерскому сердцу слова! Однако, оказывается, милы они отнюдь не только хакерам, тестерам и иже с ними — еще существуют люди, зарабатывающие на этих самых дырах немалые деньги.
Для начала позволь рассказать тебе о легальной стороне вопроса, то есть об официальном, «белом» рынке. Сформировался он давно, явление это отнюдь не новое. Чтобы понять почему, достаточно задаться вопросами: «Когда компьютеры обрели широкую популярность и стали массовым явлением?», «Как давно появились такие понятия, как софт и дыра?» Примерно одновременно с этими событиями совершенно закономерно зародился рынок по поиску, купле и продаже уязвимостей. Спрос, как известно, рождает предложение.
На сегодняшний день крупных игроков в этом бизнесе насчитывается немало. Кто вообще заинтересован в покупке уязвимостей? Это правительственные агентства, поставщики разных коммерческих тулзов, крупные пентестерские и консалтинговые компании, частные лица и многие другие.
Если говорить об известных и уже зарекомендовавших себя в этой области именах, то, пожалуй, в качестве примера можно привести такие компании, как iDefense, SnoSoft и VUPEN.
Назвать конкретные цены на разные дырки, к сожалению, не представляется возможным, потому как цена здесь определяется совокупностью множества факторов. К примеру, ты нашел дырку в IE, сколько она стоит?
Цена спокойно может колебаться от $5 000 до $250 000, ведь на стоимость бага влияет все: насколько широко распространено «дырявое» приложение, много ли людей знает об уязвимости, насколько сложно было найти баг. Не менее важны и другие нюансы, которых насчитываются десятки — например, включено ли приложение по дефолту в состав ОС, найден ли баг в серверной части приложения или в клиентской, требуется ли аутентификация для использования дырки, хорошо ли файрволы справляются с защитой уязвимой софтины, потребуется ли для работы эксплойта «помощь» пользователя и так далее, и тому подобное. Многие из этих пунктов входят в стандартный «опросный лист» компанийпокупателей.
Итак, давай представим, что ты нашел баг.
Куда с ним бежать? Вероятно, я тебя огорчу, но по-быстрому сбыть дыру с рук и получить за нее деньги вряд ли получится. Во всяком случае, легально. Законная продажа в среднем занимает от одного до четырех месяцев, а иногда этот процесс растягивается и на более длительный срок.
Для начала нужно понять, сколько стоит твоя находка и кому можно выгодно ее продать. Дело в том, что сами производители софта редко покупают баги. Нет, конечно, ты наверняка слышал о том, что в Mozilla готовы заплатить $3 000 за баги в Firefox, а Google за уязвимости в своем браузере Chrome согласен раскошелиться на $3 133.70 (1337 — это слово elite, написанное литспичем). Но это скорее исключение из правил и PR-ход, нежели распространенная практика.
Те, кто серьезно готов покупать дырки, перечислены выше. Но и здесь все далеко не так гладко, как кажется. Ведь зачастую просто взять и выложить всю информацию о баге покупателю тоже нельзя, особенно если баг новенький, «перспективный» — есть риск остаться и без информации, и без денег. Таким образом получается, что даже правильно описать и преподнести свою уязвимость, не выдав ее с потрохами, это уже целая наука.
Крупные игроки рынка, скупающие уязвимости и эксплойты, вообще имеют для покупки багов собственные специальные программы, такие как Zero Day Initiative (zerodayinitiative.com) от Tripping Point, Snosoft program (snosoft.blogspot.com) или iDefense Vulnerability Contributor Program. Чаще всего в рамках таких проектов применяется схема «сначала баг, потом деньги». То есть, ты будешь обязан предоставить всю информацию покупателю до совершения сделки.
Если такой расклад тебя не устраивает, ты уверен, что твой баг ценен и по каким-то причинам не хочешь обращаться к «барыгам-перекупщикам», можешь попробовать подыскать покупателя сам. Но будь готов к долгим мытарствам и привлечению к сделке третьих сторон в качестве посредника.
Кстати, последнее бывает актуально даже для черного рынка: ведь, как уже было сказано, грамотно описать, преподнести и уж тем более продемонстрировать свою уязвимость покупателю — не самая простая задача. Многие предпочитают подстраховаться.
Обратная сторона медали
Как верно отметил Крис Касперски, с которым мы обсуждали этот вопрос: «Торговать дырами закон не запрещает». Это чистая правда, разве что в некоторых странах установлены определенные запреты — в Германии, например, свобода действий в этой области несколько ограничена.
Если в былые времена одной из основных мотиваций искателей багов были престиж и крутость, то на сегодня основной движущей силой, конечно, являются деньги.
Фактически у специалиста по компьютерной безопасности или у хакера есть множество вариантов поведения после того, как он нашел баг. Можно честно сообщить о нем разработчику, можно выложить его на всеобщее обозрение, можно добавить красивую строку в свое резюме, а можно и продать. Легально или не очень. И вот именно жажда наживы и приводит нас к одному очень забавному аспекту этого рынка — зачастую уязвимости продаются не по одному разу.
Основные покупатели дырок — это среднего размера компании, работающие в сфере IT-безопасности. С частными лицами они практически никогда не работают — репутация дороже. Купля-продажа у них происходит, так сказать, на верхнем уровне — юр. лицо с юр. лицом. Однако основные открыватели дыр — это именно что физические лица, причем откровенные хакеры-ломатели.
Для посредничества между первыми и вторыми нужны конторы типа iDefense. Но вот незадача — проконтролировать хакеров-ломателей все же весьма проблематично. Допустим, человек нашел эксклюзивную инфу о некой дырке и продал ее кому-то из крупных скупщиков. А потом посидел, подумал и потихому перепродал ее еще раз. И что с ним делать? Не убивать ведь. Да, ты, конечно, скажешь, что во избежание такого достаточно просто прописать соответствующий пункт в контракте, но не спасает и это.
Даже если контракт предусматривает полное удаление продавцом всей информации о дыре или эксплойте после совершения сделки, а также подразумевает передачу всех прав на эту информацию покупателю, стереть информацию о находке у продавца из головы, увы, невозможно. Нет никаких гарантий, что он потом не восстановит все данные и не продаст их из-под полы кому-нибудь еще. По сути, покупатель бага практически беззащитен в этом вопросе, здесь почти бессильно даже суровое законодательство США.
Конечно, подать в суд и попробовать разобраться можно всегда, но, как показывает практика, почти никто этим не занимается. А тем временем на множестве сайтов и форумов в разделах купли-продажи можно найти объявления о продаже, покупке или поиске эксплойтов и багов. Зачастую все это вообще лежит в открытом доступе. Адреса подобных ресурсов ты наверняка знаешь и сам, но навскидку могу назвать хотя бы alligator.cash
В России и на Украине ситуация с «рынком багов» вообще довольно грустная — уязвимости продают в основном с рук, или же багоискатели вовсе работают по заказу. К примеру, за реверс патчей нашему брату платят порядка $200-350 в день, и на все про все обычно уходит около недели времени. По общемировым меркам такие расценки можно охарактеризовать разве что фразой «как рабам на плантации», однако для русских это хорошие деньги, тем более что самая нелегальная часть этого бизнеса — уклонение от налогов.
Зато миф о том, что «плохие парни» из хакерского андеграунда готовы платить баснословные суммы за серьезные уязвимости, это именно миф. Нет, история наверняка знавала исключения, но, поверь, их были единицы. В основном те, кто занимается киберпреступлениями на широкую ногу, довольствуются услугами собственных умельцев — тех самых «рабов на плантации». Командам таких реверсеров и платить приходиться куда меньше, и конкретные задачи перед ними поставить можно.
Кто и зачем покупает дыры
Да, спрос рождает предложение, но кто же создает этот спрос? Не особенно покривив душой можно ответить — все. В свежих уязвимостях заинтересованы и разработчики софта, и пентестеры, и специалисты по ИБ, и хакеры, и многие другие лица. Лучше всего будет пояснить на примерах.
У пентестеров, к примеру, спросом пользуются не только новые дыры. Этим парням пригождается все — ведь им, так сказать, «для комплекта». Пентестеры используют для имитации атак все, что только можно: фокус в том, что нормальный IPS (Intrusion Prevention System) ругается на все попытки атак, даже если система залатана и атака обломалась.
То есть, если ты делаешь попытку атаки, а админ врубил сниффер, то он просечет фишку. Ну а если админ получит 100 000 алертов в логе? И пусть все эти 100 000 — это старые и неактуальные дыры, зато попробуй разбери, как все-таки атаковали. Так что пентестерам нужен хороший эксплойт-пак, и даже если дыра уже год как залатана, она им все равно полезна.
Обслуживают такой контингент компании вроде Immunity, Core Security и Rapid7, в иструментарий которых, в числе прочего, входят и эксплойты с дырками. Кстати, не гнушаются пентестеры и покупкой багов с рук, у частных лиц. Заплатят они меньше, чем крупные скупщики, но зато не особенно привередливы в выборе.
С компаниями, стоящими на передовой линии компьютерной безопасности, ситуация обратная. Представь себе: клиент купил IPS некой фирмы, а этот IPS не видит и не отражает новых атак. Само собой, здесь пахнет выброшенными на ветер деньгами, судами и другими малоприятными штуками.
Так что secure-компаниям жизненно важно узнавать об уязвимостях как можно быстрее. Такие компании не только покупают дырки за деньги, но и нанимают собственных специалистов-ломастеров. К тому же есть связи.
Все более-менее крупные игроки рынка тесно работают с производителями и их проблемами. Они видят сорцы. Игроки поменьше, не имеющие широкой паутины связей и денег на штатных реверсеров, вынуждены покупать информацию о дырках, как и другие «простые смертные».
Производителям софта, в свою очередь, вообще торопиться некуда. Подумай сам, что обычно отвечает тот же Microsoft, когда их спрашивают о дырах? Верно, MS говорит что-то вроде «ладно, мы тут подумали и решили выпустить внеплановый патч, ибо, да-да, планета в огне, все горит, полыхнуло так, что даже мы заметили». Более того, производители (даже те, которые серьезно относятся к этим вопросам) инфу о дырках получают в основном на халяву, не напрягаясь.
Схема проста: кто-то нашел дыру, обрадовался и по-тихому продал ее некому кул-хацкеру, который, в свою очередь, с помощью этой дыры атаковал «большую рыбу». Админ «большой рыбы» оказался не дурак — у него стоит куча снифферов и логгеров. Зафиксировав атаку, он отослал все данные аверской компании.
Аверская компания по своим внутренним взаимным договоренностям тут же сообщила производителю софта, что в его продукте нашли уязвимость. Таким образом — всего лишь первая реальная эксплуатация бага, а информация о нем уже дошла до производителя. Да, конечно, если производитель будет суетиться сам — он выиграет время.
Но зачем? На создание патча все равно потребуется некоторый срок, да и реальных убытков от дырок производитель почти никогда не несет. Так что, получается, что об уязвимости все равно узнают. И все равно ее придется фиксить. Но производителю нет смысла платить за то, чтобы узнать о ней первым. Именно поэтому предложения Mozilla и Google — это обычный PR, особенно с учетом того, что «крутость» дыры они определяют сами.
Напоследок замечу, что все не так страшно, как может показаться. С одной стороны, дырок в современном софте бессчетное количество, они стоят неплохих денег, продаются и перепродаются из рук в руки, а также весьма медленно патчатся. С другой стороны, не стоит забывать о том, что реально для массовых и серьезных атак используется ничтожный процент этих самых уязвимостей. Статистика, видишь ли, утверждает, что хакеры в большинстве своем ленивы до ужаса
Тема взята с @t.me/darknetinfo