👬 👨🏻‍🌾 🔄 Na Rússia, abriu uma troca para a compra e venda de explorações 🐺 🌎 🐧

0 dia para todas as versões do Windows é vendido por US $ 90 mil.

^{A estrutura do arquivo roubado dos servidores da equipe de hackers . A empresa vendeu explorações para os serviços especiais da Rússia e de outros países.A} primeira troca foi aberta

na Rússia,onde desenvolvedores e hackers podem vender oficialmente vulnerabilidades nos navegadores Linux, Windows, OS X, Tor, iOS, Android, Chrome, IE, etc. Mantendo isso em segredo, você pode ganhar muito mais do que o programa oficial de recompensa de vulnerabilidades, que fornece a divulgação de informações e o lançamento de um patch. É verdade que a ética de uma empresa assim permanece em questão, porque as agências governamentais usam esses bugs para espionar cidadãos e inteligência estrangeira. Mas essas atividades não são contrárias à lei.

A bolsa russa Expocod.com foi fundada por Andrei Shorokhov, ex-funcionário da Rosfinmonitoring, escreve a Kommersant. Órgãos governamentais e empresas no campo da segurança da informação se tornarão compradores de façanhas. Representantes do FSB já entraram em contato com a bolsa.

Anteriormente, a venda de novos exploits e bugs de 0 dia em software popular acontecia no mercado negro. Então os estados entraram no jogo: as explorações começaram a ser compradas por serviços especiais, agências de inteligência e agências de aplicação da lei que precisavam desenvolver trojans e backdoors eficazes para rastrear criminosos , inteligência estrangeira e sabotagem em empresas industriais estrangeiras . As agências governamentais continuam sendo os principais clientes agora.

O cenário hacker russo sempre foi um dos principais fornecedores de novas explorações e dias úteis, mas as negociações eram realizadas no subsolo.

^{Grugq, um hacker sul-africano que vive em Bangkok e trabalha como um corretor independente de alto nível . A bolsa contém dinheiro para acordos com fornecedores.Há}

vários anos, as primeiras empresas de hackers apareceram no mundo que se especializaram oficialmente na venda de exploits. A primeira aos olhos do público foi a empresa francesa Vupen. Em março de 2012, depois de vencer o concurso Pwn2Own, ela mostrou uma exploração válida do Chrome e se recusou a enviá-la ao Google para "economizar para seus clientes". Ou seja, a empresa recusou voluntariamente a recompensa de US $ 60.000 oferecida pelo Google por abrir um buraco no Chrome. Tornou-se claro que os "clientes" pagariam mais.

^{O grupo francês Vupen vende façanhas desde 2012 e venceu repetidamente concursos de hackers: foto tirada no CanSecWest em 2014}

Não há nada de surpreendente aqui, porque no mercado negro o custo das explorações chega a US $ 500.000. Somente para assinar o feed de notícias sobre novos bugs que estão à venda, os clientes da Vupen pagam US $ 100 mil por ano. Se necessário, os clientes podem comprar o direito de usar uma nova ferramenta por dinheiro extra. Este é um produto muito valioso que permite a vigilância secreta de suspeitos, a penetração na rede de computadores do inimigo e assim por diante. A Vupen selecionou cuidadosamente os clientes: eles só podiam ser de países da OTAN, ANZUS e ASEAN.

Agora, os sites de exploração global mais famosos são o Zerodium., Zeronomicon, Zero Day Initiative e Mitnick Absolute Zero-Day Exploit Exchange. No total, existem agora cerca de duas dezenas de grandes sites de exploração no mundo. O volume desse mercado está crescendo rapidamente.

Alguns comerciantes de exploração ocidentais declaram que não vendem explorações para países onde os governos podem usá-las de maneira inadequada, por exemplo, para perseguir oponentes políticos. Portanto, eles não funcionam, por exemplo, com as agências policiais russas.

A bolsa russa Expocod.com não será tão seletiva. Aqui quase qualquer um pode comprar e vender ferramentas para hackers e espionagem. “Nos reservamos o direito de escolher quem e o que vender - isso é uma questão de ética e reputação. É claro que não venderemos façanhas a alguns combatentes pela independência da Somália, Coréia do Norte ou regimes similares, e por que não a todos os outros ”, diz Andrei Shorokhov, fundador da Expocod.

De acordo com informações do site, o custo de uma exploração no Adobe Flash é de até US $ 55 mil, as vulnerabilidades em vários navegadores podem ser vendidas por US $ 35-60 mil, um buraco no anonimizador Tor - US $ 80 mil no Windows, OS X, Linux etc. - por US $ 35 a US $ 80 mil.

Para comparação, a vulnerabilidade de 0 dia para todas as versões do Windows agora é vendida no mercado por US $ 90 mil. O comprador ainda não foi encontrado, mas os especialistas acreditam que sim.

Andrei Shorokhov trabalhou anteriormente em inteligência financeira no departamento de investigações financeiras da Rosfinmonitoring, onde se especializou em investigar crimes de alta tecnologia: “Sou o único proprietário da Expocod e o beneficiário final deste projeto, não há investidores secretos aqui, invisto todos os fundos no desenvolvimento do projeto” “Ele disse em entrevista ao Kommersant. A equipe do Expocod inclui ex-hackers que mudaram para o "lado positivo" e especialistas do setor de segurança da informação. Como a Vupen, a empresa russa não apenas compra e revende vulnerabilidades, mas também desenvolve explorações por conta própria.

A empresa também cria um conjunto de explorações de teste que nos permitirá avaliar o grau de segurança de qualquer sistema de TI: "Por exemplo, podemos testar ABSs bancários quanto a vulnerabilidades ou quão vulnerável uma empresa de defesa está a ameaças externas", disse Sholokhov.

Infelizmente, para cumprir os interesses do Estado, precisamos sacrificar a segurança do software e dos sistemas operacionais. Se as explorações forem vendidas no mercado negro em condições secretas, os patches não estarão disponíveis em breve. O uso pelas agências governamentais de façanhas é "uma necessidade no mundo moderno para defender seus interesses estratégicos no campo da segurança da informação", explicou Sholokhov.

Hackers (e programadores, participantes de projetos de código aberto) podem vender vulnerabilidades para bitcoins na troca. Para os participantes de projetos de código aberto, é tentador não fechar o bug que eles encontraram no código, mas vender informações sobre a troca. Vamos esperar que isso não afete negativamente a qualidade dos projetos de software.

Na Rússia, abriu uma troca para a compra e venda de explorações

0 dia para todas as versões do Windows é vendido por US $ 90 mil.

More articles: