🚸 🈯️ ⛩️ En Rusia, abrió un intercambio para la compra y venta de exploits 🌫️ ⬇️ 🧘🏼

0day para todas las versiones de Windows se vende por $ 90k.

^{La estructura del archivo robado de los servidores de la empresa Hacking Team . La compañía vendió exploits a los servicios especiales de Rusia y otros países.}

El primer intercambio se abrió en Rusia,donde los desarrolladores y hackers pueden vender oficialmente vulnerabilidades en los navegadores Linux, Windows, OS X, Tor, iOS, Android, Chrome, IE, etc. Vender la vulnerabilidad a un cliente interesado y Al mantenerlo en secreto, puede ganar mucho más que con el programa oficial de recompensa de vulnerabilidad, que proporciona la divulgación de información y el lanzamiento de un parche.

Es cierto que la ética de un negocio así sigue en duda, porque las agencias gubernamentales usan estos errores para espiar a los ciudadanos y la inteligencia extranjera. Pero tales actividades no son contrarias a la ley.

El intercambio ruso Expocod.com fue fundado por Andrei Shorokhov, un ex empleado de Rosfinmonitoring, escribe Kommersant. Las agencias gubernamentales y las empresas en el campo de la seguridad de la información se convertirán en compradores de exploits. Representantes del FSB ya se han puesto en contacto con el intercambio.

Anteriormente, la venta de nuevas vulnerabilidades y errores de 0 días en software popular se realizaba en el mercado negro. Luego, los estados entraron en el juego: los servicios especiales, las agencias de inteligencia y las agencias de aplicación de la ley comenzaron a adquirir hazañas que necesitaban desarrollar troyanos y puertas traseras eficaces para localizar criminales , inteligencia extranjera y sabotaje en empresas industriales extranjeras . Las agencias gubernamentales siguen siendo los principales clientes ahora.

La escena del hacker ruso siempre ha sido uno de los principales proveedores de nuevas hazañas y 0 días, pero el comercio se realizó bajo tierra.

^{Grugq, un hacker sudafricano que vive en Bangkok y trabaja como un agente independiente de exploits de alto nivel . La bolsa contiene dinero para acuerdos con proveedores.}

Hace varios años, aparecieron las primeras compañías de hackers en el mundo que se especializaron oficialmente en la venta de exploits. El primero en el ojo público fue la empresa francesa Vupen. En marzo de 2012, después de ganar el concurso Pwn2Own, mostró un exploit de Chrome válido y se negó a enviarlo a Google para "ahorrar para sus clientes". Es decir, la compañía rechazó voluntariamente la recompensa de $ 60,000 que Google ofreció por abrir un agujero en Chrome. Quedó claro que los "clientes" pagarían más.

^{El grupo francés Vupen ha estado vendiendo exploits desde 2012 y ha ganado repetidamente concursos de piratería: foto tomada en CanSecWest en 2014}

No hay nada sorprendente aquí, porque en el mercado negro se rumorea que el costo de las hazañas alcanza los $ 500,000. Solo por suscribirse al servicio de noticias sobre errores nuevos que aparecen a la venta, los clientes de Vupen pagan $ 100 mil al año. Si es necesario, los clientes pueden comprar el derecho de usar una nueva herramienta por dinero extra. Este es un producto muy valioso que permite la vigilancia encubierta de sospechosos, la penetración en la red informática del enemigo, etc. Vupen seleccionó cuidadosamente a los clientes: solo podían ser de países de la OTAN, ANZUS y ASEAN.

Ahora los sitios de exploits globales más famosos son Zerodium., Zeronomicon, Zero Day Initiative y Mitnick's Absolute Zero-Day Exploit Exchange. En total, ahora hay alrededor de dos docenas de grandes sitios de explotación en el mundo. El volumen de este mercado está creciendo rápidamente.

Algunos comerciantes de exploits occidentales declaran que no venden exploits a países donde los gobiernos pueden usarlos de manera inadecuada, por ejemplo, para perseguir a opositores políticos. Por lo tanto, no trabajan, por ejemplo, con las agencias rusas de aplicación de la ley.

El intercambio ruso Expocod.com no será tan selectivo. Aquí casi cualquiera puede comprar y vender herramientas para piratería y espionaje. “Nos reservamos el derecho de elegir quién y qué vender; esto es una cuestión de ética y reputación. Por supuesto, no venderemos hazañas a algunos combatientes por la independencia de Somalia, Corea del Norte o regímenes similares, y por qué no a todos los demás ", dice Andrei Shorokhov, fundador de Expocod.

Según la información en el sitio, el costo de un exploit en Adobe Flash es de hasta $ 55 mil, las vulnerabilidades en varios navegadores se pueden vender por $ 35-60 mil, un agujero en el anonimizador Tor - $ 80 mil, en Windows, OS X, Linux, etc. - por $ 35- $ 80 mil.

En comparación, la vulnerabilidad de 0 días para todas las versiones de Windows ahora se vende en el mercado por $ 90 mil. El comprador aún no se ha encontrado, pero los expertos creen que sí.

Andrei Shorokhov trabajó anteriormente en inteligencia financiera en el departamento de investigaciones financieras de Rosfinmonitoring, donde se especializó en la investigación de delitos de alta tecnología: "Soy el único propietario de Expocod y el beneficiario final de este proyecto, no hay inversores secretos aquí, invierto todos los fondos en el desarrollo del proyecto" “Dijo en una entrevista con Kommersant. El equipo de Expocod incluye antiguos hackers que se han cambiado al "lado positivo" y expertos de la industria de seguridad de la información. Al igual que Vupen, la compañía rusa no solo comprará y revenderá vulnerabilidades, sino que también desarrollará exploits por sí misma.

La compañía también crea un conjunto de exploits de prueba que nos permitirán evaluar el grado de seguridad de cualquier sistema de TI: "Por ejemplo, podemos probar los ABS bancarios en busca de vulnerabilidades o cuán vulnerable es una compañía de defensa a las amenazas externas", dijo Sholokhov.

Desafortunadamente, para cumplir con los intereses estatales, tenemos que sacrificar la seguridad del software y los sistemas operativos. Si los exploits se venden en el mercado negro en condiciones secretas, los parches no estarán disponibles pronto. El uso de hazañas por parte de las agencias gubernamentales es "una necesidad en el mundo moderno para defender sus intereses estratégicos en el campo de la seguridad de la información", explicó Sholokhov.

Los hackers (y programadores, participantes en proyectos de código abierto) pueden vender vulnerabilidades para bitcoins en el intercambio. Para los participantes en proyectos de código abierto, es tentador no cerrar el error que encontraron en el código, sino vender la información en el intercambio. Esperemos que esto no afecte negativamente la calidad de los proyectos de software.

En Rusia, abrió un intercambio para la compra y venta de exploits

0day para todas las versiones de Windows se vende por $ 90k.

More articles: