Di Rusia, membuka pertukaran untuk pembelian dan penjualan eksploitasi

0day untuk semua versi Windows dijual seharga $ 90k.

^{Struktur arsip dicuri dari server Tim Peretasan perusahaan . Perusahaan menjual eksploitasi ke layanan khusus Rusia dan negara-negara lain.} Pertukaran pertama dibuka

di Rusia dimana pengembang dan peretas dapat secara resmi menjual kerentanan di Linux, Windows, OS X, Tor, iOS, Android, Chrome, browser IE, dll. Menjual kerentanan kepada klien yang tertarik dan Dengan merahasiakannya, Anda bisa mendapat lebih banyak daripada di bawah program hadiah kerentanan resmi, yang menyediakan pengungkapan informasi dan rilis tambalan. Benar, etika bisnis semacam itu masih dipertanyakan, karena lembaga pemerintah menggunakan bug ini untuk memata-matai warga dan intelijen asing. Tetapi kegiatan seperti itu tidak melanggar hukum.



Pertukaran Rusia Expocod.com didirikan oleh Andrei Shorokhov, seorang mantan karyawan Rosfinmonitoring, tulis Kommersant. Instansi pemerintah dan perusahaan di bidang keamanan informasi akan menjadi pembeli eksploitasi. Perwakilan FSB telah menghubungi bursa.

Sebelumnya, penjualan eksploitasi baru dan bug 0day dalam perangkat lunak populer terjadi di pasar gelap. Kemudian negara memasuki permainan: eksploitasi mulai dibeli oleh layanan khusus, agen intelijen dan lembaga penegak hukum yang perlu mengembangkan trojan dan jalan belakang yang efektif untuk melacak penjahat , intelijen asing, dan sabotase di perusahaan industri asing . Instansi pemerintah tetap menjadi pelanggan utama sekarang.

Adegan hacker Rusia selalu menjadi salah satu pemasok utama eksploitasi baru dan 0 hari, tetapi perdagangan dilakukan di bawah tanah.


^{Grugq, seorang peretas Afrika Selatan yang tinggal di Bangkok dan bekerja sebagai broker eksploitasi kelas atas yang independen . Kantong berisi uang untuk penyelesaian dengan pemasok.}

Beberapa tahun yang lalu, perusahaan peretas pertama muncul di dunia yang secara resmi berspesialisasi dalam penjualan eksploitasi. Yang pertama di mata publik adalah perusahaan Prancis Vupen. Pada bulan Maret 2012, setelah memenangkan kontes Pwn2Own, ia menunjukkan eksploitasi Chrome yang valid dan menolak untuk mengirimkannya ke Google untuk "menabung untuk pelanggannya." Artinya, perusahaan secara sukarela menolak hadiah $ 60.000 yang ditawarkan Google karena membuka lubang di Chrome. Menjadi jelas bahwa "pelanggan" akan membayar lebih.


^{Grup Prancis Vupen telah menjual eksploitasi sejak 2012 dan telah berulang kali memenangkan kontes hacking: foto diambil di CanSecWest pada 2014}

Tidak ada yang mengejutkan di sini, karena di pasar gelap biaya eksploitasi dikabarkan naik menjadi $ 500.000. Hanya untuk berlangganan feed berita tentang bug baru yang muncul dalam penjualan, pelanggan Vupen membayar $ 100 ribu per tahun. Jika perlu, pelanggan dapat membeli hak untuk menggunakan alat baru untuk uang tambahan. Ini adalah produk yang sangat berharga yang memungkinkan pengawasan tersangka, penetrasi ke jaringan komputer musuh, dan sebagainya. Vupen memilih pelanggan dengan cermat: mereka hanya bisa dari negara-negara NATO, ANZUS dan ASEAN.

Sekarang situs eksploit global yang paling terkenal adalah Zerodium., Zeronomicon, Zero Day Initiative, dan Pertukaran Absolute Zero-Day Exploit Mitnick. Secara total, sekarang ada sekitar dua lusin situs eksploitasi besar di dunia. Volume pasar ini berkembang pesat.

Beberapa pedagang eksploit Barat menyatakan bahwa mereka tidak menjual eksploit ke negara-negara di mana pemerintah mungkin menggunakannya dengan cara yang tidak tepat, misalnya, untuk menganiaya lawan politik. Karena itu, mereka tidak bekerja, katakanlah, dengan lembaga penegak hukum Rusia.

Pertukaran Rusia Expocod.com tidak akan selektif. Di sini hampir semua orang dapat membeli dan menjual alat untuk peretasan dan spionase. “Kami berhak memilih siapa dan apa yang akan dijual - ini masalah etika dan reputasi. Tentu saja, kami tidak akan menjual eksploitasi kepada beberapa pejuang untuk kemerdekaan Somalia, Korea Utara atau rezim serupa, dan mengapa tidak untuk semua orang, ”kata pendiri Expocod Andrei Shorokhov.

Menurut informasi di situs tersebut, biaya eksploit di Adobe Flash mencapai $ 55 ribu, kerentanan di berbagai browser dapat dijual seharga $ 35-60 ribu, lubang di Tor anonimizer - $ 80 ribu, di Windows, OS X, Linux, dll. - seharga $ 35- $ 80 ribu.

Sebagai perbandingan, kerentanan 0day untuk semua versi Windows sekarang dijual di pasaran seharga $ 90 ribu. Pembeli belum ditemukan, tetapi para ahli percaya bahwa ada.





Andrei Shorokhov sebelumnya bekerja di intelijen keuangan di departemen investigasi keuangan Rosfinmonitoring, di mana ia berspesialisasi dalam menyelidiki kejahatan teknologi tinggi: "Saya adalah satu-satunya pemilik Expocod dan penerima manfaat utama dari proyek ini, tidak ada investor rahasia di sini, saya menginvestasikan semua dana dalam pengembangan proyek" “Katanya dalam wawancara dengan Kommersant. Tim Expocod termasuk mantan peretas yang telah beralih ke "sisi terang", dan para ahli dari industri keamanan informasi. Seperti Vupen, perusahaan Rusia tidak hanya akan membeli dan menjual kembali kerentanan, tetapi juga mengembangkan eksploitasi sendiri.

Perusahaan juga menciptakan serangkaian uji eksploitasi yang memungkinkan kami menilai tingkat keamanan sistem TI apa pun: "Misalnya, kami dapat menguji ABS perbankan untuk kerentanan atau bagaimana perusahaan pertahanan mana pun rentan terhadap ancaman eksternal," kata Sholokhov.

Sayangnya, untuk memenuhi kepentingan negara, kita harus mengorbankan keamanan perangkat lunak dan sistem operasi. Jika eksploitasi dijual di pasar gelap dalam kondisi rahasia, maka tambalan tidak akan segera tersedia. Penggunaan oleh lembaga pemerintah eksploitasi adalah "suatu keharusan di dunia modern untuk menegakkan kepentingan strategis mereka di bidang keamanan informasi," Sholokhov menjelaskan.

Peretas (dan programmer, peserta dalam proyek sumber terbuka) dapat menjual kerentanan untuk bitcoin di bursa. Untuk peserta dalam proyek sumber terbuka, tergoda untuk tidak menutup bug yang mereka temukan dalam kode, tetapi untuk menjual informasi di bursa. Mari kita berharap bahwa ini tidak berdampak negatif pada kualitas proyek perangkat lunak.

Source: https://habr.com/ru/post/id394867/