ИНФОРМАЦИОННЫЙ ПОРТАЛ
Ваш путеводитель в мире IRC и ИТ-технологий!

Мир IT стремительно меняется, следите за новинками в сфере IT вместе с нами. Главные новости и события мира информационных технологий, обзоры гаджетов и софта, мнения экспертов о новинках - на нашем сайте.

 

ВСЯКОЕ

ПРАЙС-ЛИСТ ДЛЯ ХАКЕРА, ИЛИ СКОЛЬКО СТОИТ ВЗЛОМ

19 Октября 2013

Хакер The Grugq выступает посредником между хакерами и правительствами разных стран. Он рассказал журналу Forbes подробности своего бизнеса. На основе его данных был составлен уникальный прайс-лист на хакерские услуги.

«Руформатор» представляет перевод статьи Энди Гринберга (Andy Greenberg) из Forbes.

Умный хакер сегодня сталкивается с непростым выбором. Найдите ранее неизвестную уязвимость в iPhone или iPad и вы сможете сообщить об этом компании Apple и представить результаты своей работы на конференции по безопасности, чтобы добиться известности и прибыльных контрактов в сфере консалтинга. Другой вариант – вы можете поделиться своим успехом с Zero Day Initiative и заработать тыс. Оба варианта позволят Apple исправить свои ошибки и сделать жизнь сотни миллионов пользователей iPhone и IPad более безопасной.

Но любой, кто знаком с хакером, известным под ником «the Grugq», получает третью опцию: провернуть сделку через анонимного брокера, продав информацию об уязвимости государственному агентству за миллион долларов (минус 15% комиссии для «the Grugq»).

Хакер the Grugq начал заниматься посредничеством между хакерами и правительством в этом году, и за короткий срок провернул уже несколько десятков сделок. Он говорит, что в этом году ожидает заработать около миллиона долларов.

Даже несмотря на то, что с каждого миллионного контракта он получает 0 тыс, the Grugq считает, что занизил стоимость своих услуг. «Клиент был слишком счастлив», - комментирует он свою точку зрения. Шестизначные суммы за один-единственный взлом могут показаться чересчур раздутыми, но на самом деле это нормальная практика. На основании разговора с участниками этой скрытной, но законной торговли, я составил примерный прайс-лист на эксплойты «нулевого дня».

Эти цены предполагают, что ваш товар эксклюзивен, что уязвимость была найдена в самой последней версии программного обеспечения и что вы не предупреждали о ней поставщика ПО. Иногда гонорары выплачивают в рассрочку, при условии, что на момент каждого следующего платежа производитель ПО не нашел и не исправил уязвимость.

Цена эксплойта зависит как от распространенности использования взломанного ПО, так и от сложности самого взлома. Например, хакер, который открыл уязвимость в ПО, позволяющую ему установить контроль над компьютером под управлением Mac OSX, получит меньше денег, чем хакер, которому удалось взломать Windows, потому что у последней доля рынка значительно больше. С другой стороны, взлом iOS оплачивается более высоко, чем взлом Android, поскольку требует обхода более серьезных систем безопасности, установленных Apple. Так, за право эксклюзивно воспользоваться инструментом JailbreakMe 3.0, разработанным хакером Comex для джейбрейка iOS в прошлом году, государственные агентства были готовы заплатить 0 тыс.

Кто же платит такие суммы денег? Правительства западных стран, и особенно – Соединенных Штатов, говорит the Grugq. Он ограничивает круг покупателей американскими и европейскими госорганами не только из этических соображений, но и потому, что они больше платят. «Продажа уязвимости русской мафии гарантирует, что баг будет тут же пущен в ход, и они заплатят очень маленькие деньги, - так the Grugq объясняет, почему он не работает с российским правительством. - Россия наводнена преступниками. Они монетизируют уязвимости самыми жесткими и прямолинейными способами и постоянно обманывают друг друга».

Что касается Китая, то в стране слишком много хакеров, которые продают уязвимости только китайскому правительству, снижая цены. «Рынок очень застойный. Цены на хакерские услуги в других странах Азии и на Ближнем Востоке тоже не могут сравниться с западными», - комментирует Grugq.

80% своих доходов the Grugq получает от правительства США. «Это обычная продажа коммерческого программного обеспечения, она также нуждается в сопроводительной документации. Разница лишь в том, что вы продаете только одну лицензию. И за это все называют вас «злом», - говорит The Grugq.

Одним из самых громких критиков торговли уязвимостями является Крис Согониан (Chris Soghoian) из Open Society Foundations. Он называет торговцев кибервзломами «современными торговцами смертью», торгующих «пулями кибервойны». Согониан боится, что эксплойты, продаваемые правительствам, могут попасть в руки «плохих парней» и тогда под угрозой могут оказаться объекты инфраструктуры государств.

The Grugq не видит никакого этического конфликта в своей работе. «Китайцы ведут шпионаж в массовом масштабе. Согониан хочет запретить продажу программного обеспечения, то есть, простите, «эксплойтов» в США и Европу? Что ж единственный возможный результат такого запрета – наращивание внутреннего производства и оттачивание навыков китайских хакеров», - отвечает он на обвинения.

Можно ли продавать уязвимости самим разработчикам взломанного ПО? Такие фирмы, как Mozilla или Facebook, предлагают разработчикам несколько тысяч долларов за сообщение об уязвимости. Google обычно платит максимум 133 за нахождение самых сложных багов в своем ПО. Но четырехзначные цифры вряд ли способны удовлетворить такого продавца, как the Grugq. «Если они хотят, чтобы их ошибки были исправлены, они могут купить их по рыночным ценам, как и все остальные. У них есть адрес моей электронной почты», - говорит он.

ЕЩЕ ПО ТЕМЕ:

ЯБЛОЧНЫЙ ЦОД: КАК APPLE ЗАСТАВИЛА ВСЕХ ИСПОЛЬЗОВАТЬ MAC MINI

11.12.2013

С тех пор как мы в последний раз касались темы Apple в корпоративном мире, произошло немало интересного. Нет, компания из Купертино не выпустила серию специальных продуктов под лейблом Enterprise и даже не представила специальный лэптоп, идеально подходящий для корпоративных пользователей (хотя MacBook Air часто называют «менеджерским» устройством). Но, видно, такая уж судьба у Apple — практически ничего не делать для корпоративного рынка, однако постоянно на нём присутствовать.

ЦЕНА ЗА ЭЛЕКТРОНИКУ, КОТОРУЮ ПЛАТИТ ПРИРОДА

25.09.2013

На ежегодном международном фестивале дизайна, проходящем в Лондоне (London Design Festival 2013), появилась необычная инсталляция — кулеры с тёмной, грязной водой. Установили их экологи из общественной организации Friends of the Earth («Друзья Земли») с целью привлечь внимание европейской общественности к проблеме загрязнения окружающей среды во время добычи ресурсов для производства смартфонов и планшетов.

FACEBOOK ПОТРАТИТ 10 МИЛЛИОНОВ ДОЛЛАРОВ НА БЛАГОТВОРИТЕЛЬНОСТЬ

24.09.2013

По некоторым данным социальная сеть Facebook потратит 10 миллионов долларов на благотворительность и таким образом закроет все вопросы, связанные с делом о «социальной» рекламе

INTERSYSTEMS: ФОРМУЛА УСПЕХА В IT-МЕДИЦИНЕ

14.09.2013

В чем состоят различия в информатизации российского и зарубежного здравоохранения? Кто способен эффективно реализовать ИТ-проекты в отечественной медицине? С какими трудностями приходится сталкиваться сегодня в реализации медицинских IT-проектов? Как принять верное решение при выборе комплексной медицинской информационной системы? Об этом и многом другом — в интервью директора по развитию бизнеса филиала компании «InterSystems» в России, странах СНГ и Балтии Виталия Кондратенкова.