En Russie, a ouvert une bourse pour l'achat et la vente d'exploits

0day pour toutes les versions de Windows se vend 90 000 $.

^{La structure de l'archive volée sur les serveurs de la société Hacking Team . La société a vendu des exploits aux services spéciaux de la Russie et d'autres pays.Le} premier échange a été ouvert

en Russieoù les développeurs et les pirates peuvent officiellement vendre des vulnérabilités dans les navigateurs Linux, Windows, OS X, Tor, iOS, Android, Chrome, IE, etc. Vendre la vulnérabilité à un client intéressé et En gardant le secret, vous pouvez gagner beaucoup plus que dans le cadre du programme officiel de récompense de vulnérabilité, qui prévoit la divulgation d'informations et la publication d'un correctif. Certes, l'éthique d'une telle entreprise reste en cause, car les agences gouvernementales utilisent ces bogues pour espionner les citoyens et les renseignements étrangers. Mais de telles activités ne sont pas contraires à la loi.



La bourse russe Expocod.com a été fondée par Andrei Shorokhov, un ancien employé de Rosfinmonitoring, écrit Kommersant. Les agences gouvernementales et les entreprises dans le domaine de la sécurité de l'information deviendront des acheteurs d'exploits. Des représentants du FSB ont déjà contacté la bourse.

Auparavant, la vente de nouveaux exploits et de bogues 0day dans des logiciels populaires avait lieu sur le marché noir. Ensuite, les États sont entrés dans le jeu: les exploits ont commencé à être achetés par des services spéciaux, des agences de renseignement et des forces de l'ordre qui devaient développer des chevaux de Troie et des portes dérobées efficaces pour traquer les criminels , les renseignements étrangers et le sabotage dans les entreprises industrielles étrangères . Les agences gouvernementales restent aujourd'hui les principaux clients.

La scène des hackers russes a toujours été l'un des principaux fournisseurs d'exploits frais et de 0day, mais les échanges se sont déroulés sous terre.


^{Grugq, un hacker sud-africain qui vit à Bangkok et travaille en tant que courtier indépendant d' exploits haut de gamme . Le sac contient de l'argent pour les règlements avec les fournisseurs.Il y a}

plusieurs années, les premières sociétés de hackers sont apparues au monde qui se sont officiellement spécialisées dans la vente d'exploits. La première entreprise aux yeux du public a été la société française Vupen. En mars 2012, après avoir remporté le concours Pwn2Own, elle a montré un exploit Chrome valide et a refusé de le soumettre à Google afin de «faire des économies pour ses clients». Autrement dit, la société a volontairement refusé la récompense de 60 000 $ offerte par Google pour avoir ouvert un trou dans Chrome. Il est devenu clair que les «clients» paieraient plus.


^{Le groupe français Vupen vend des exploits depuis 2012 et a remporté à plusieurs reprises des concours de piratage: photo prise à CanSecWest en 2014}

Il n'y a rien de surprenant ici, car sur le marché noir, le coût des exploits augmenterait jusqu'à 500 000 $. Seulement pour s'abonner au fil d'actualité sur les nouveaux bogues qui apparaissent en vente, les clients de Vupen ont payé 100 000 $ par an. Si nécessaire, les clients peuvent acheter le droit d'utiliser un nouvel outil pour de l'argent supplémentaire. Il s'agit d'un produit très précieux qui permet une surveillance secrète des suspects, une pénétration dans le réseau informatique de l'ennemi, etc. Vupen a soigneusement sélectionné ses clients: ils ne peuvent provenir que des pays de l'OTAN, d'ANZUS et de l'ASEAN.

Désormais, les sites d'exploitation mondiaux les plus connus sont Zerodium., Zeronomicon, Zero Day Initiative et Absolute Zero-Day Exploit Exchange de Mitnick. Au total, il existe aujourd'hui une vingtaine de grands sites d'exploitation dans le monde. Le volume de ce marché croît rapidement.

Certains marchands d'exploit occidentaux déclarent qu'ils ne vendent pas d'exploits à des pays où les gouvernements peuvent les utiliser de manière inappropriée, par exemple pour persécuter des opposants politiques. Par conséquent, ils ne travaillent pas, disons, avec les services répressifs russes.

La bourse russe Expocod.com ne sera pas aussi sélective. Ici, presque tout le monde peut acheter et vendre des outils de piratage et d'espionnage. «Nous nous réservons le droit de choisir qui et quoi vendre - c'est une question d'éthique et de réputation. Bien sûr, nous ne vendrons pas d'exploits à certains combattants pour l'indépendance de la Somalie, la Corée du Nord ou des régimes similaires, et pourquoi pas à tout le monde », a déclaré le fondateur d'Expocod Andrei Shorokhov.

Selon les informations sur le site, le coût d'un exploit dans Adobe Flash peut atteindre 55 000 $, les vulnérabilités dans divers navigateurs peuvent être vendues entre 35 et 60 000 $, un trou dans l'anonymiseur Tor - 80 000 $, sous Windows, OS X, Linux, etc. - pour 35 $ - 80 000 $.

À titre de comparaison, la vulnérabilité 0day pour toutes les versions de Windows est désormais vendue sur le marché pour 90 000 $. L'acheteur n'a pas encore été trouvé, mais les experts estiment que oui.





Andrei Shorokhov a précédemment travaillé dans le renseignement financier au département des enquêtes financières de Rosfinmonitoring, où il s'est spécialisé dans les enquêtes sur les délits de haute technologie: «Je suis le seul propriétaire d'Expocod et le bénéficiaire ultime de ce projet, il n'y a pas d'investisseurs secrets ici, j'investis tous les fonds dans le développement du projet» «Il a dit dans une interview avec Kommersant. L'équipe Expocod comprend d'anciens pirates qui sont passés du "bon côté" et des experts du secteur de la sécurité de l'information. Comme Vupen, la société russe achètera et revendra non seulement des vulnérabilités, mais développera également des exploits par elle-même.

La société crée également un ensemble d'exploits de test qui nous permettront d'évaluer le degré de sécurité de tout système informatique: «Par exemple, nous pouvons tester les ABS bancaires pour les vulnérabilités ou la vulnérabilité d'une entreprise de défense aux menaces externes», a déclaré Sholokhov.

Malheureusement, pour respecter les intérêts de l'État, nous devons sacrifier la sécurité des logiciels et des systèmes d'exploitation. Si les exploits sont vendus sur le marché noir dans des conditions secrètes, les correctifs ne seront pas disponibles bientôt. L'utilisation par les agences gouvernementales d'exploits est «une nécessité dans le monde moderne pour défendre leurs intérêts stratégiques dans le domaine de la sécurité de l'information», a expliqué Sholokhov.

Les pirates (et les programmeurs, participants à des projets open source) peuvent vendre des vulnérabilités pour les bitcoins sur l'échange. Pour les participants à des projets open source, il est tentant de ne pas fermer le bug qu'ils ont trouvé dans le code, mais de vendre les informations sur l'échange. Espérons que cela n'affecte pas négativement la qualité des projets logiciels.

Source: https://habr.com/ru/post/fr394867/