Kim Zetter. Countdown to Zero Day. Глава 7. Зарплаты в 0day.

Уязвимости нулевого дня в Stuxnet подняли много тревожных вопросов о растущей роли правительства в тайной продаже и использовании таких уязвимостей – вопросы, которые еще предстоит рассмотреть конгрессу или решить в публичных дебатах, несмотря на существующие свидетельства того, что такая практика создает опасные уязвимости для корпораций, критической инфраструктуры и отдельных пользователей компьютеров.

Хотя рынок эксплойтов нулевого дня существует уже более десяти лет, до недавнего времени он был довольно небольшим и скрывался в закрытом андерграунд сообществе хакеров и киберпреступников. Однако в последние несколько лет он стал коммерческим и популярным, поскольку значительно выросло количество продавцов и покупателей, а вместе с ними и цены, и некогда темная торговля стала легитимизированной с появлением на арене государственных долларов для создания нерегулируемого рынка кибероружия.

Одним из первых намеков на коммерциализацию уязвимостей нулевого дня появился в декабре 2005 года, когда продавец по имени fearwall опубликовал эксплойт для продажи на eBay, чем вызвал опасения у общества, мол, официально трудоустроенные специалисты по кибербезопасности вместо того чтобы за спасибо передавать информацию о дырах в корпорации, примкнут к темной стороне и станут продавать свои навыки и товары по достаточно высоким ценам. Перед тем как выставить уязвимость нулевого дня в Microsoft Excel на аукцион, fearwall действительно пытался достучаться с ней к Microsoft, но софтверный гигант не стеснялся игнорировать полученную информацию, и не спешил ее исправлять. Поэтому fearwall решил выставить свой эксплойт на открытом рынке, чтобы смутить компанию и заставить ее быстрее исправить дыру. Торги достигли отметки в 60 долларов, после чего eBay оборвал листинг. Но отмененная продажа была предзнаменованием будущих перемен.

Сегодня рынок эксплойтов нулевого дня крайне разнообразен – от белых маркетов с вознаграждением за обнаружение дыры в безопасности до процветающих андеграундных черных шопов, владельцами которых являются хакеры, которые вызывают собой неподдельный интерес у правоохранительных органов и спецслужб по всему миру.

По программе вознаграждения за обнаружение уязвимостей сейчас работают Google, Microsoft и другие крупные корпорации, и что самое главное, они делают остальные компании более отзывчивыми и ответственными по поводу исправления багов в своих продуктах. Сторонние фирмы по обеспечению безопасности, такие как HP TippingPoint, так же платят за уязвимости нулевого дня, которые потом они используют для проверки безопасности сетей клиентов и защиты от атак. TippingPoint в частном порядке раскрывают информацию о дырах разработчикам программного обеспечения, но на исправления могут потребоваться недели и месяцы, и в течении этого времени TippingPoint может опередить конкурентов, и предоставить своим клиентам защиту от атак, о которых те даже не подозревают.

На процветающем черном рынке, который обслуживает всякого рода мошенников и корпоративных шпионов, продаются не только эксплойты нулевого дня, но и другие полезные штуки: троянские кони, спай киты(spy kits) и другие инструменты для кражи учетных данных онлайн-банкинга, сбора ценной информации, и даже для создания своей армии зомбированных компьютеров – ботнета. Уязвимости, продаваемые на этом рынке, становятся известными общественности только после обнаружения атак, использующих их, на что могут уйти годы, о чем свидетельствует время, которые понадобилось экспертам, чтобы обнаружить эксплойт .LNK, который использовался в Stuxnet и трояне Zlob.

Подпольные продажи нелегальных товаров, какими бы опасными они не были, быстро затмеваются новейшим рынком уязвимостей и эксплойтов нулевого дня, который, по прогнозам критиков, вскоре окажет более серьезное влияние на сферу безопасности. Это процветающий серый рынок, где правительственные покупатели взвинтили цены уязвимостей нулевого дня, и этим заманили туда еще большее количество продавцов, которые вместо того, чтобы в сотрудничестве с компаниями пытаться пофиксить уязвимости, теперь будут продавать их за космические деньги.

Рынок называется «серым» только потому, что покупатели и продавцы считаются якобы «хорошими парнями», действующими в интересах публичной и национальной безопасности. Но инструмент безопасности одного человека, может стать инструментом атаки другого человека, и нет никаких гарантий, что правительство, которое покупает уязвимость нулевого дня, не будет злоупотреблять им, чтобы, например, шпионить за политическими оппонентами и активистами, или передавать их другому правительству, которое может сделать это за них. Даже если правительственное агентство использует уязвимость нулевого дня для законной цели, уязвимости, продаваемые на сером рынке, никогда не сообщаются разработчикам, и как итог, те остаются непропатченными. Из-за этого любой, кто не знает о них, включая другие правительственные агентства и владельцы критически важной инфраструктуры, уязвимы для атак, если хакеры обнаружат эти уязвимости и воспользуются ими.

Продажа эксплойтов является законной и значительной степени нерегулируемой. Хотя экспортный контроль в Соединенных Штатах, который регулирует продажу обычного программного обеспечения, запрещает продажи эксплойтов в такие страны как Иран и Северная Корея, эксплойты все равно не имеют авторских прав с указанием человека, который его создал, или хотя бы страны происхождения, и поэтому любой, кто продает уязвимости в интернете вряд ли будет пойман.

Цены на уязвимости нулевого дня сильно варьируются в зависимости от ее редкости – системы, которые трудно взломать имеют меньше дыр, а также требуют больше времени и сил, связанных с поиском уязвимости, и разработкой эксплойта под нее, программным обеспечением, которое оно эксплуатирует, и эксклюзивности товара. Эксплойт, проданный исключительно одному человеку будет стоять, естественно, больше. Эксплойты, которые требуют более чем одну уязвимость для обеспечения получения рут-прав на компьютере жертвы, также будут стоять дороже, так же, как и те, которые обходят антивирусные в системе без каких-либо побочных эффектов, таких как вылет браузера, или сообщения на компьютере жертве по типу «что-то пошло не так».

Эксплойт нулевого дня для Adobe Reader может стоить от 5 до 30 тысяч долларов, в то время как для Mac OS – от 50 тысяч. Но эксплойт для Flash или Windows может быть оценен и в 100 тысяч из-за более широкого распространения программ на рынке. Эксплойт на Iphone также может стоить 100 тысяч, потому что Iphone взломать сложнее, нежели его конкурентов на мобильном рынке. А эксплойты браузера, которые атакуют Firefox, Internet Explorer и Chrome могут достигать суммы в 200 тысяч долларов США, в зависимости от их способней обходить меры безопасности.1 Нулевые дни и все браузерные эксплойты, нацеленные на дыры в безопасности в Safari, Firefox и Internet Explorer, продаются примерно по 100 тысяч каждая. Фирма получала 50 тысяч авансом, а затем по 10 тысяч каждый месяц до тех пор, пока не была оплачена вся цена – платежи были распределены, чтобы отбить охоту у покупателя перепродать эксплойт другим людям или раскрыть его разработчикам для исправления.

Какая бы цена не была на сером рынке, она всегда будет значительно превосходить то, что продавец мог бы получить на белом рынке. Например, Mozilla Foundation платит всего 3 тысячи долларов за ошибки, обнаруженные в их браузере, или почтовом клиенте Thundebird, также Microsoft, которую годами критиковали за отсутствие программы вознаграждения за найденные дыры, в 2013 году начала предлагать всего 11 тысяч долларов за ошибки, обнаруженные в их тогда новом Internet Explorer 11. Однако сейчас Microsoft платит 100 тысяч долларов за уязвимости, которые помогут хакерам обойти средства защиты в своих программных продуктах, и дополнительные 50 тысяч за способ ее исправления. Google обычно платит от 500 до 20 тысяч долларов за ошибки в Chrome, и других и веб-ресурсах, таких как Gmail и Youtube, хотя за некоторые типы уязвимостей в Chrome, Google заплатит 60 тысяч долларов в рамках ежегодного конкурса, который он спонсирует. Но хотя крупные организации и пытаются конкурировать с черным рынком, в большинстве случаев они по-прежнему не соответствуют цене, которую предлагают покупатели на черном рынке. А Apple и Adobe и вовсе до сих пор не имеют программ вознаграждения за обнаруженные уязвимости в их программном обеспечении, которые используют миллионы людей.

И хотя серый рынок с нулевыми днями существует уже около десяти лет, в своей нынешней устойчивой форме он появился вовсе недавно. В течение многих лет он работал в режиме ad-hoc, причем продажи между частными фирмами в сфере безопасности и исследователями, и также их правительственными контактами происходили только в частном порядке, так, чтобы об этом не знал никто. Если кто-то хотел продать эксплойт ,и при этом не имел правительственных контактов, ему было трудно найти покупателя. Например, по словам бывшего сотрудника, работавшего в фирме в сфере кибербезопасности, за год они продали всего несколько эксплойтов нулевого дня крупной оборонной американской компании.

Одним из первых, кто открыто признал, что продавал эксплойты правительству, является эксперт в сфере кибербезопасности Чарли Миллер, бывший хакер АНБ, который был завербован шпионским агентством в 2000 году после получения степени доктора математики в университете Нотр-Дам. Миллер проработал в бюро пять лет, первоначально взламывая коды от своего имени, а затем переключил свои навыки на взлом компьютеров – проводил рекогносцировочные сканирования для анализа зарубежных сетей и «эксплуатировал компьютерные сети против иностранных целей», согласно его «подчищенному» АНБ резюме. В шпионской речи для этого есть специальная термин, CNE, что означает взлом систем и сетей для передачи данных и информации. Покинув АНБ, Миллер заработал признание в сообществе специалистов по компьютерной безопасности ища уязвимости нулевого дня и создавая эксплойты, некоторые из них он продавал правительству. Он был первым со своим коллегой, кто взломал защиту Iphone после его дебюта в 2007 году, и стал четырех кратным победителем Pwn2Own, ежегодного хакерского конкурса, спонсируемого HP TippingPoint, который платит участникам за уязвимости нулевого дня, обнаруженные в конкретном программном обеспечении.

В 2006 году Миллер работая на небольшую фирму, в которой занимался поиском ошибок в программном обеспечении, продал эксплойт нулевого дня подрядчику из правительства за 50 тысяч долларов. Он продал эксплойт человеку, с которым ранее работал в АНБ, и говорит, что понятия не имеет что стало с эксплойтом после продажи и как его использовали. Контракты, которые он подписывал, продавая свои эксплойты, никогда не предусматривали его будущее использование покупателем. «Я не знаю, сделал он что-то плохое, либо хорошее. Я знаю что он работает на правительство», – говорит Миллер, – «Он покупает интеллектуальную собственность, вы знаете? Он волен делать с ней все что угодно».

В 2007 году Миллер вызвал бурю негодования, когда опубликовал статью о рынке эксплойтов и публично признал, что продавал эксплойты правительству.2 Он написал статью, потому что хотел, чтобы люди знали о существовании такого рынка, и помогали другим исследователям преодолевать подводные камни, с которыми они сталкивались. В то время продажа эксплойтов была маленькой грязной тайной в сфере безопасности. Исследователи время от времени обсуждали эту практику между собой, но никогда не говорили об этом открыто. Вскоре Миллер узнал почему. Коллеги из сообщества кибербезопасности обвинили его в том, что он подвергает пользователей риску, а некоторые призвали к тому, чтобы его сертификат CISSP (сертифицированного специалиста по безопасности) был отменен за нарушение этического кодекса отрасли. «Я говорил об этом… Я был за это осужден. И больше я об этом не говорю», – сказал Миллер.3

В любом случае ему не имело никакого смысла передавать ошибки разработчикам бесплатно, и хоть в то время уже существовали несколько программ вознаграждения за обнаруженные уязвимости, они платили несравненно мало денег, нежели предлагали покупатели на сером рынке. Это было также время, когда разработчики вместо благодарностей за обнаруженную уязвимость угрожали судебным иском или уголовным преследованием за исследование их программного обеспечения.

Миллер отказался от продажи нулевых дней много лет назад – сейчас он работает в команде безопасности Twitter, но он все еще не видит ничего плохого в том, чтобы продавать уязвимости и эксплойты нулевого дня правительству. «Никто не злится на то, что, вы знаете, некоторые компании продают правительственное оружие и танки», – говорит он, отмечая, что, хотя американские исследователи и продают правительству нулевые дни, тем же занимаются и китайские и русские специалисты. Из его слов, Соединенным Штатам лучше заплатить огромную сумму за эксплойт, чем позволить ему попасть в руки врагов.

«Нет, я не считаю, что продавать эксплойты правительству это круто», – сказал мне Миллер, – «но я думаю что людям стоит… осознавать что это все равно происходит. Я не против того, чтобы правительство делало это открыто… Только я не понимаю почему они не создадут публичную программу, надпись на которой будет гласить: «Найди уязвимость нулевого дня, и мы купим ее!»».4

Но за годы, прошедшие с того времени, когда еще Миллер охотился за уязвимостями, спрос на серый рынок с нулевыми днями быстро рос, о чем свидетельствует тот факт, что эксплойты, которые раньше могли продаваться месяцами, теперь забирают с прилавков за неделю, а то и вовсе пару дней. Появилась растущая экосистема, отвечающая спросу, которая заполняется небольшими компаниями, основой деятельности которых является поиск ошибок, а также фирмами из сферы кибербезопасности и кадровыми агентствами, которые в настоящее время нанимают команды профессиональных хакеров, занимающихся разработкой эксплойтов для правительства. Также намного выросло число посредников, брокеров, которые стают между независимыми продавцами и покупателями.

Одним из таких посредников является южноафриканский специалист кибербезопасности, живущий в Таиланде, который известен в сообществе под никнеймом «The Grugq». The Grugq выступает посредником между своими друзьями-хакерами и правительственными контактами, беря за свои услуги 15-процентную комиссию с каждой сделки. Он начал свой бизнес в 2011 году, и к 2012 году его продажи были настолько успешными, что, как он сказал одному репортеру, он рассчитывает заработать 1 миллион долларов. На одной из опубликованных в сети фотографий, сделанной в бангкокском баре, у его ног лежала сумка с деньгами, очевидно, оплата от одного из клиентов, хотя позже он заявил, что эта фотография была всего лишь шуткой.5

           В Forbes он рассказал, что большинство проданных им эксплойтов достались правительственным покупателям из Соединенных Штатов и Европы, потому что те были готовы платить больше, чем все остальные. Один эксплойт на Apple IOS он продал государственному подрядчику из США, обошелся в 250 тысяч долларов, хотя позже The Grugq пришел к выводу что запросил слишком маленькую сумму, ибо покупатель был чересчур доволен покупкой. Он связывал свой успех с профессионализмом, который он вкладывал в маркетинг и продвижение своих эксплойтов, а также поддержкой, которую оказывал клиентам. «Вы продаете коммерческое программное обеспечение, и как любой другой товар», – говорил он Forbes, – «он должен быть отполирован и прийти с соответствующей документацией».

Но по-настоящему крупная торговля эксплойтами в наши дни осуществляется не посредниками и отдельными продавцами, такими как Миллер и The Grugq, а компаниями из сферы кибербезопасности, которые занимаются разработкой и продажей эксплойтов для правительственной части нового военно-промышленного комплекса.

И хотя правительства все еще производят свои собственные эксплойты – для этого в АНБ, например, работают специальные команды – они также передают эту работу в аутсорсинг другим компаниям, потому что спрос на эксплойты вырос, как и стоимость их создания: два или три года назад одной уязвимости было достаточно, чтобы получить на машине права администратора. Но сегодня одной уязвимости будет почти наверняка недостаточно, чтобы обойти меры безопасности для достижения тех же результатов.

Большинство компаний, работающих в сфере продажи эксплойтов, не разглашают подробностей их деятельности, потому что не хотят, чтобы их преследовали активисты, выступающие против торговли нулевыми днями, или конкуренты, которые могут взломать их, и украсть их эксплойты. Поскольку нулевые дни могут использоваться как для защиты системы, так и для ее атаки, многие компании также скрывают свою наступательную деятельность, прикрываясь якобы защитой. В разной степени в этой игре участвовали такие американские компании как Endgame Systems, Harris, Raytheon, Northrop, Grumman, SAIC, Booz Allen Hamilton и Lockhead Martin. Европейские фирмы, включая ReVuln на Мальте, и VUPEN во Франции также разрабатывали и продавали эксплойты для систем промышленного контроля различным правоохранительным органам и спецслужбам. Hacking Team в Италии и Gamma Group в Великобритании продавали средства для слежки правительственным спецслужбам, которые для своей установки использовали эксплойты нулевого дня.

Работа Endgame Systems, грузинской фирмы, над эксплойтами нулевого дня долгое время оставалась в секрете в комьюинити кибербезопасности, и не была широко известна за его пределами до 2011 года, пока хакеры из коллектива Anonymous не взломали сервера другой компании под названием HBGary Federal, и не слила оттуда тысячи электронных писем, включая переписку с руководителями Endgame. В электронных письмах обсуждалась работа Endgame Systems над эксплойтами, а также его усилия «не привлекать к себе внимания» по совету правительственных заказчиков. В электронных письмах, которые включали в себя презентации PowerPoint для потенциальных клиентов Endgame, рассказывалось о миссии компании по расширению «информационных операций разведывательных и военных организаций США». Главой совета директоров Endgame является также исполнительный директор In-Q-Tel, фирмы венчурного капитала ЦРУ.

Для всех в мире Endgame предлагал услуги по защите клиентов от вирусов и ботнетов, но они также вели подпольную деятельность – продажу пакетов уязвимости и эксплойтов, содержащих информацию, которая может «способствовать быстрому развитию CNA». CNA (Computer Network Attacks), или атаки на компьютерные сети, это военный жаргон для хакинга, который манипулирует данными и системами, или и вовсе уничтожает их, приводит к замедлению скорости их работы, или полностью останавливает ее. Компания была основана в 2008 году, и ее бизнес перспективы были настолько радужны, что два года спустя, в 2010, она привлекла к себе 30 миллионов долларов венчурного капитала, а в следующем раунде финансирования – 23 миллиона долларов. В 2011 году генеральный директор Endgame Кристофер Руланд заявил местной газете в Атланте, что выручка компании «более чем удваивается в год».

Похищенные электронные письма описывают три разных пакета Endgame, которые называются Maui, Cayman и Corsica. За 2.5 миллиона долларов, пакет Maui предоставлял покупателям 25 эксплойтов нулевого дня. Пакет Cayman, стоимостью 1.5 миллиона долларов, предоставлял сведения о более чем миллионе уязвимых компьютеров по всему миру, уже зараженных червями ботнетов, таких, как Conficker и другими малварями. Примерная карта в электронных письмах указывала расположение уязвимых компьютеров в Российской Федерации и список зараженных систем в ключевых государственных учреждениях и критических инфраструктурных объектах, который включал в себя IP-адрес каждой машины и используемую ею операционную систему. В списке числились 249 зараженных машин в Центральном банке Российской Федерации, несколько машин в Министерстве финансов, Национальном резервном банке, Нововоронежской атомной электростанции и Ачинском нефтеперерабатывающем заводе. Частично Endgame собирал данные, настраивая шлюзы для связи с машинами, зараженными Conficker – когда вредоносное ПО связывалось со шлюзом, Endgame собирала все сведения о машине. Аналогичная карта Венесуэлы показывала расположение веб-серверов в стране и программное обеспечение, на котором они работают. Плохо настроенные веб-серверы часто стают легкими мишенями для хакеров и предоставляют им доступ к бэк-энд системам и базам данных. Системы, попавшие в список, включали в себя серверы Corporacion Andina de Fomento – банка развития, который предоставляет финансирование восемнадцати странам-членам в Латинской америке, Карибском бассейне и Европе, а также центральное бюджетное управление Венесуэлы, канцелярию президента, Министерство обороны и Министерство иностранных дел. Когда компания была взломана, Endgame начали заявлять журналистам об уходе компании из рынка, и в начале 2014 года Endgame официально перестали существовать как бизнес.

В то время как Engame прилагала большие усилия, дабы скрыть свой эксплойт-бизнес, VUPEN Security, базирующаяся в Монпелье, Франция, позитивно относилась к своей роли в торговле нулевыми днями. VUPEN позиционирует себя как небольшая киберсекьюрити компания, создающая и продающая эксплойты спецслужбам и правоохранительным органам для операций в области кибербезопасности и миссиях перехвата киберпреступников. Первоначально созданная в 2008 году для защиты правительственных клиентов от атак нулевого дня, компания вскоре начала создавать эксплойты для наступательных операций спецслужб. В 2011 году доход компании составил 1.2 миллиона долларов, 90 процентов из которых поступили из продаж за границами Франции. В 2013 году они заявили об открытии своего офиса в Соединенных Штатах.

Основатель VUPEN, Чауки Бекрар, смелый и дерзкий человек, любит ругать критиков в Twitter, которые считают, что предоставлять эксплойты нулевого дня правительству неэтично. Также он часто бросает своим конкурентам намеки, чтобы те также публично рассказали о своей роли в мире торговли нулевыми днями. «Мы единственная компания в мире, которая открыто признает то, что делает», – говорит он. «Я знаю несколько компаний в США и Европе, которые также занимаются продажей уязвимостей нулевого дня, но делают это под прикрытием. Мы же заявляем об этом открыто и четко, ибо хотим быть прозрачными в глазах клиентов».7

В то время как Endgame и другие стараются не привлекать к себе внимания, Бекрар и его специалисты регулярно посещают конференции по кибербезопасности, принимают участие в таких конкурсах как Pwn2Own, чтобы повысить авторитет компании. На конференции CanSecWest (ежегодная конференция, посвященная кибербезопасности в Канаде) в 2012 году, Бекрар и команда из четырех его исследователей заняли первое место, на всех них были одинаковые черные худи с названием компании на спине.

Но прозрачность VUPEN это вещь относительная. Бекрар никогда не будет обсуждать свое прошлое или отвечать на другие личные вопросы, вместо этого отвлекая все внимание на свою компанию. «Я всего лишь актер. И хочу поговорить о фильме», – говорит он. Но когда речь доходит до его компании, его губы остаются все также сомкнуты – он не рассказывает о количестве сотрудников в компании, просто говорит, что компания небольшая, и никогда не раскрывает фамилий своих работников.

Исследователи VUPEN посвящают все свое время поиску уязвимостей нулевого дня и разработке эксплойтов – как для уже известных уязвимостей, так и для нулевых дней. Бекрар не раскрывает информацию о количестве проданных за все время существования компании эксплойтов, но говорит, что его специалисты обнаруживают сотни уязвимостей нулевого дня в год. «У нас есть нулевые дни для всего, что вам угодно», – говорит Бекрар. «У нас есть эксплойты для почти каждой операционной системы, для каждого браузера, для каждого приложения, если хотите».

Сколько в его словах правды, а сколько стратегического маркетинга – неясно, но в любом случае, его тактика работает и приносит свои плоды. В 2012 году, через несколько месяцев после того, как команда Бекрара выиграла конкурс Pwn2Own, АНБ приобрело годовую подписку на «Бинарный анализ и эксплойты(BAE)» от VUPEN. Выпущенный в сеть контракт был сильно отредактирован, и даже не указывал цену, которую заплатило за услуги компании АНБ. Консалтинговая фирма, которая назвала VUPEN предпринимательской компанией 2011 года, указала, что стоимость такой подписки составляет около 100 тысяч долларов. Согласно официальному сайту VUPEN, подписка на BAE представляет «высокотехнологические ответы по наиболее критическим и значительным уязвимостям, чтобы понять их первопричину, методы использования, способы устранения и обнаружения атак как на основе эксплойтов, так и на основе уязвимостей».8

VUPEN также предлагает программу защиты от угроз, которая предоставляет подробные исследования о эксклюзивных уязвимостях, обнаруженных ее исследователями чтобы позволить «уменьшить их подверженность атакам нулевого дня», согласно брошюре компании, которая просочилась в WikiLeaks.9 Обе эти программы описываются так, как будто они призваны только помочь клиентам защитить себя от атак нулевого дня – эксплойты нулевого дня могут использоваться для проверки системы на ее уязвимость к атаке, но всегда умалчивают о том, что эксплойты могут использоваться и для атаки на другие непропатченные системы. А такие готовые эксплойты на обнаруженные уязвимости входят в программу защиты от угроз. Есть у VUPEN и третья программа для правоохранительных и разведывательных служб, которая явно предназначена для скрытого нападения на машины с целью получения удаленного доступа к ним. «Правоохранительные органы нуждаются в самых передовых исследованиях вторжений в IT и в самых надежных инструментах атак для скрытого и удаленного доступа к компьютерным системам», – цитируется Бекраром в брошюре. «Использование ранее неизвестных уязвимостей программного обеспечения и эксплойтов, которые обходят антивирусные продукты и современные средства защиты операционной системы… может помочь следователям успешно решить их задачи».

Программа вторжения ограничена полицией, спецслужбами НАТО, АНЗЮС и АСЕАН, а также странами-партнерами этих ассоциаций, что Бекрар называет «ограниченным числом стран».

«Это очень важно, поэтому мы хотим, чтобы количество клиентов было небольшим», – заявляет Бекрар. Но у НАТО есть 28 стран-членов, включая Румынию и Турцию, и еще около сорока стран считаются ее партнерами, включая Израиль, Беларусь, Пакистан и Россию. Бекрар настаивает на том, что VUPEN не продает экслойты всем им, просто из-за того, что они есть в списках партнеров.

Компания продает эксплойты, которые атакуют все ведущие коммерческие продукты от Microsoft, Apple, Adobe и других, а также предназначаются для корпоративных баз данных и серверных систем, разработанных такими компаниями, как Oracle. Но браузерные эксплойты –самый желанный товар, и Бекрар утверждает, что у них есть эксплойты для каждого из имеющихся на рынке браузеров. VUPEN продает только эксплойты и то, что Бекрар называет «промежуточными полезными нагрузками», которые позволяют клиенту проникнуть в сеть. Работа клиента заключается лишь в том, чтобы использовать эскплойт с окончательной полезной нагрузкой.

После того, как был обнаружен Stuxnet, VUPEN, как и многие другие компании из их отрасли, переключили свое внимание на промышленные системы управления, когда клиенты начали интересоваться эксплойтами для них. Эксплойты Stuxnet, которые по словам Бекрара обнаружила его команда после разоблачения атаки, достойны восхищения. «Сами уязвимости были хороши, а их использование хакерами в своих интересах реализованы просто гениально», – говорил Бекрар. «Их было не так просто разработать…». Но для серьезной разработки эксплойтов для промышленных систем управления необходим доступ к специальному оборудованию и средствам для тестирования, и Бекрар говорит: «У нас нет таких вещей, и мы не хотим, чтобы у нас они были».

Подписчики программы эксплойтов имеют доступ к порталу, где они через меню могут выбрать и купить любой существующий эксплойт нулевого дня или специальные эксплойты для конкретной операционной системы или приложения. Согласно брошюре, эксплойты имеют четыре уровня стоимости. Подписчики приобретают определенное количество кредитов, которые они могут использовать для покупки эксплойтов стоимостью соответственно 1, 2, 3 или 4 кредита. Каждый эксплойт сопровождается описанием программного обеспечения, на которое он нацелен, и указанием того, насколько надежным является эксплойт. Также клиенты могут получать оповещения в режиме реального времени, когда будет обнаружена новая уязвимость, и доступен ли к покупке эксплойт под нее. VUPEN также отслеживает деятельность Microsoft и других крупных организаций, чтобы видеть, когда исправляется уязвимость из разработанных ими эксплойтов, и предупреждает клиентов о том, что ошибка или эксплойты были пропатчены – иногда с помощью сообщения в Twitter.

Бекрар также признает, что его компания не предоставляет экслюзивные эксплойты, а продает одни и те же нескольким покупателям. Однако, чем больше используется эксплойт, тем больше вероятность того, что его обнаружат, что сделает его менее привлекательным в глазах покупателей.

Бекрар, как и Миллер, мало симпатизирует людям, которые критикуют продажу эксплойтов, и в прошлом заявлял, что производители программного обеспечения сами создали этот государственный рынок эксплойтов, первоначально отказавшись платить исследователям за обнаруженные ими уязвимости, а затем отказываясь платить хорошие деньги, не оставляя им выбора, кроме как обращаться к другим покупателям, которые будут готовы дать хорошие деньги за их труд. Бекрар также заявляет, что не торгует эксплойтами ради денег. «Мы не бизнесмены, мы не заботимся о продажах. Мы заботимся о безопасности, об этике», – говорит директор VUPEN.

На конкурсе Pwn2Own, где Google платит 60 тысяч долларов за эксплойт и информацию об уязвимости, команду VUPEN спросили об уязвимости, которую они использовали против браузера Google Chrome, Бекрар отказался передавать какую-либо информацию.10 Он в шутку ответил, что может подумать о предложении, если Google предложит 1 миллион долларов. Но позже лично он сказал одному человеку, что даже за 1 миллион долларов он бы не передал этот эксплойт, предпочитая оставить его для своих покупателей. На вопрос, есть ли у клиентов VUPEN такие деньги, чтобы платить за эксплойты миллионы долларов, Бекрар засмеялся и ответил: «Нет, нет, нет, нет. Никогда. У них нет таких денег».

В прессе Бекрар уверяет в том, что причины для продажи эксплойтов правительствам имеют куда больший смысл, чем просто заработок денег: «В основном, мы работаем с правительствами, которые сталкиваются с проблемами национальной безопасности… мы помогаем им защитить свои права и жизни граждан… Это как любой из видов наблюдения». Правительство должно знать, готовится ли какой-то заговор, и что вообще делают люди в стране, чтобы наверняка обеспечить национальную безопасность. Так что существует множество способов использовать эксплойты в целях национальной безопасности и спасения человеческих жизней».

Но критики утверждают, что такие компании, как VUPEN, никак не могут знать, где и как будет использоваться купленный в них эксплойт, в целях безопасности страны, или слежки за домами невинных граждан. Бекрар признает, что клиентское соглашение VUPEN не запрещает покупателям использовать эксплойты для слежки. «Но мы говорим, что эксплойты должны использоваться этически», – добавляет в конце Бекрар.

Он говорит, что компания не может более конкретно описать данный вопрос в договоре, ибо юридические соглашения должны быть слишком общими, чтобы охватить все возможные случаи неэтического использования. «Для нас это понятно», – говорит Бекрар, – «Вы должны использовать эксплойты в рамках этики, в рамках международных норм и национальных законов, и вы не можете использовать их в массовых операциях». Но этика – это понятие относительное, и Бекрар признает, что нет никакого способа, чтобы контролировать то, как клиенты интерпретируют этические предписания. «Моя единственная возможность как-то контролировать этот вопрос, – это продавать эксплойты только тем странам, которые реально нуждаются в них. И мы продаем только демократическим странам».

Кристофер Согоян из Американского союза гражданских свобод является одним из крупнейших критиков VUPEN. Он называет продавцов эксплойтов, таких как VUPEN, «современными торговцами смертью» и «ковбоями», которые гоняются за государственными долларами, чтобы поставлять им инструменты и оружие, которые делает возможным репрессивное наблюдение и кибервойну, ставя этим самым под риск всех граждан.11 Согоян признает, что с помощью VUPEN или без нее, правительство все равно будет производить собственные эксплойты нулевого дня, но такие продавцы, в любом случае, это «бомба замедленного действия», потому что над их торговлей нет никакого контроля.

«Как только один из таких эксплойтов нулевого дня, проданных правительству, попадет в руки «плохому парню» и будет использован в атаке против критически важной инфраструктуры США, бумеранг вернется», – слова Согояна аудитории компьютерных экспертов на конференции в 2011 году. «Дело не в том, а когда… Что, если низкооплачиваемый коррумпированный полицейский вздумает продать копию одного из эксплойтов членам организованной преступности или террористам? Что если Anonymous взломает сеть одной из правительственных спецслужб и похитит один из таких эксплойтов?».12

В 2013 году были предприняты первые шаги в попытках отрегулировать рынок нулевых дней и прочего кибероружия. Вассенаарские договоренности – организация по контролю над вооружениями, состоящая из 41 страны, включая Соединенные Штаты, Великобританию, Россию и Германию, – объявили, что это будет первый договор, классифицирующий программные и аппаратные продукты, которые можно использовать для наблюдения, взлома и «может наносить ущерб международной и регионарной безопасности и стабильности» как продукты двойного назначения. Обозначение двойного назначения используется для ограничения материалов и технологий (таких, как стальные заготовки, используемые в центрифугах), которые могут использоваться как в мирных, так и в военных целях. И хотя декларации организации не имеют обязательной юридической силы, ожидается, что государства-члены будут выполнять требования к экспортным лицензиям в своих странах и сотрудничать друг с другом в контроле над продажами продуктов двойного назначения.13 В Германии, являющейся членом Вассенаарских соглашений, уже существует закон, который эффективно запрещает продаж эксплойтов, а также практикует их бесплатную раздачу, что регулярно делают исследователи из области кибербезопасности для тестирования систем и повышения безопасности. Законодатели в Соединенных Штатах при Комитете по вооруженным силам Сената в 2013 году приняли закон, который призывает президента разработать политику «контроля над распространением кибероружия посредством одностороннего и совместного экспортного контроля, правоохранительной деятельности, финансовых средств, дипломатического взаимодействия и других действий, который президент посчитает целесообразным». Но неясно, как именно будут работать такие средства контроля, поскольку нулевые дни и другое цифровое оружие отследить будет куда труднее, чем, допустим, классическое огнестрельное оружие, и такие средства контроля, требующие экспортных лицензий для продажи эксплойтов за границу и проверки покупателей, могут увеличить расходы обычных честных продавцов.

Кром того, такие виды контроля предназначены для того, чтобы не допустить попадание эксплойтов в руки преступников и мошенников, таких как террористы. Но вовсе не предусматривает ограничение использования эксплойтов правительством и его службами. Быстрый скачок серого рынка нулевых дней дает понять, что правоохранительные и шпионские агентства стремятся заполучить в свои арсеналы эксплойты, подобные тем, которые использовал Stuxnet, и готовы щедро заплатить за эту привилегию. И этот бешеный спрос, скорее всего, будет только расти, а вместе с ним будет расти и количество финансируемых государством программ, которые захотят их использовать.

Сноски, ссылки и используемая литература:

1.    Смотрите Энди Гринберг, “Shopping for Zero-Days: A Price List for Hackers’ Secret Software Exploits”, Forbes, 23 марта, 2012. В последние годы уязвимости нулевого дня становится найти все труднее и труднее, поскольку создатели некоторых наиболее популярных программ добавили больше степеней защиты. Например, Google и другие компании встроили в свои браузеры так называемые песочницы, которые устанавливают защитный барьер для попадания туда вредоносного кода и предотвращения его передачи из браузера в операционную систему или другие приложения на компьютере. Таким образом, эксплойты, которые позволяют хакеру покинуть песочницу стали ценится больше.

2.    Чарли Миллер, “The Legitimate Vulnerability Market: Inside the Secretive World of 0-Day Exploit Sales”, Independent Security Evaluators, 6 мая, 2007, доступно по адресу: http://www.weis2007.econinfosec.org/papers/29.pdf.

3.    Интервью автора с Чарли Миллером, сентябрь, 2011 год.

4.    Смотрите предыдущую сноску.

5.    Гринберг, “Shopping for Zero-Days: A Price List for Hackers’ Secret Software Exploits”.

6.    Тоня Лаймэн, “Rouland’s Tech Security Firm Growing Fast”, Atlanta Business Chronicle, 11 июня, 2011.

7.    Эта и остальное цитаты из Бекрара в этой главе взяты из интервью автора в марте 2012 года, если не указано иное.

8.    Из пресс-релиза под названием “VUPEN Gets Entrepreneurial Company of the Year Award in the Vulnerability Research Marke”, 1 июня 2006 г., доступно по адресу: http://www.vupen.com/press/VUPEN_Company_of_the_year_2011.php.

9.    Брошюра доступна по адресу: https://www.wikileaks.org/spyfiles/files/0/279_VUPEN-THREAD-EXPLOITS.pdf.

10. VUPEN уже выиграли 60 тысяч долларов от HP TippingPoint за участие в конкурсе, но Google предложили дополнительные 60 тысяч за дополнительную информацию об уязвимости и способ ее устранения. Конкурс Pwn2Own, как правило, требует от участников передачи эксплойта и информации об уязвимости, которую он использует, чтобы ее можно было исправить, но не для эксплойтов, которые обходят изолированную программную среду безопасности браузера, что, как сказали VUPEN, делал их эксплойт. Один из сотрудников Google обвинил VUPEN в хвастовстве. «Мы пытаемся получить информацию, чтобы мы могли исправить ошибки… Без этой информации речь идет не о защите пользователей, а о хвастовстве. Это хороший способ удовлетворить собственное эго, но это не делает интернет более безопасным», – сказал мне сотрудник Google в личном разговоре.

11. Раян Нарейн, “0-Day Exploit Middlemen Are Cowboys, Ticking Bomb”, ZDNet.com, 16 февраля, 2012, доступно по адресу: http://www.zdnet.com/blog/security/0-day-exploit-middlemen-are-cowboys-ticking-bomb/10294.

12. Смотрите предыдущую сноску.

13. “The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies”, публичное заявление в 2013 году, доступно по адресу: https://www.wassenaar.org/publicdocuments/2013/WA%20Plenary%20Public%20Statement%202013.pdf.