"Дырявый" рынок уязвимостей

Вы нашли баг. Куда идти с находкой? К разработчику, в старый добрый даркнет или к государству, которое сегодня обещает хакерам 800 млн рублей за уязвимости.

«Торговать дырами закон не запрещает», - однажды подметил Касперски. И это действительно так. В былые времена искатели багов были мотивированы признанием среди «своих», а сегодня основной движущей силой, конечно, являются деньги. Но так ли просто найти не только сам баг, но и покупателя?

Какова цена и кто оценщик

Представим ситуацию, что вам несказанно повезло. Или это результат кропотливых поисков, но вам все же удалось отыскать дыру. Что делать с уязвимостью? У специалиста по компьютерной безопасности или у хакера есть множество вариантов поведения после обнаружения. Конечно, можно принести на блюдечке разработчику, можно предоставить доступ общественности, а можно и продать. Легально или не очень. Цена за находку зависит от основных факторов: сложность определения уязвимости, степень популярности приложения и контекст эксплуатируемого приложения, и стоимость может колебаться от 5 000$ до 250 000$.

Минимальную же оценку уязвимости можно посмотреть в публичных Bug Bounty программах. Это те рамки от и до, в которых стоит мыслить. Важно понять, что оценка уязвимости без должного анализа — это сугубо субъективный процесс, ведь каждый скажет свою цифру с потолка. Это чем-то схоже на оценку предметов искусства. Каждый предмет, а в нашем случае уязвимость, абсолютно уникальна и имеется в единственном числе. Для кого-то не стоит ничего, а кто-то готов заплатить миллионы.

Далеко не все люди технического склада ума обладают навыками продаж. И для тех, кто далек от понимания цен на рынке, придумали Bug Bounty, где огласили фиксированный прейскурант на описанные типы уязвимостей и поставили это на поток.

Конечно, мы все слышали о том, что Mozilla дает 3 000 $ за дыры в Firefox. А Google платит за уязвимости в своем браузере Chrom. Но это скорее исключение из правил и успешный PR-ход, нежели распространенная практика. Так представители Zerodium нередко устраивают своеобразные «акции» для ИБ-исследователей, на время, повышая размер выплат за баги. Недавно компания предложила хакерам миллион долларов за уязвимости в Tor Browser.

Сколько живет уязвимость

Знаменитый эксперт по безопасности Чарли Миллер описал этот рынок в своей статье: “The Legitimate Vulnerability Market: The Secretive World of 0-Day Exploit Sales”. Он также основным пунктом отметил сложности в поисках покупателя и демонстрацию работоспособности 0-day уязвимости без разглашения информации о ней. Крупные игроки рынка имеют для покупки багов собственные специальные программы. Такие как Zero Day Initiative (zerodayinitiative.com) от Tripping Point, Snosoft program (snosoft.blogspot.com) или iDefense Vulnerability Contributor Program. Многие уязвимости не теряют актуальности очень долго – это подтверждает исследование, опубликованное RAND Corporation под названием «Zero Days, Thousands of Nights» в 2017-м году. Для проведения этого анализа эксперты изучили более 200 уязвимостей нулевого дня и эксплоитов для них. Оказалось, что уязвимости нулевого дня в среднем «живут» 6,9 года, то есть 2521 день. При этом четверть уязвимостей сохраняют статус 0-day всего полтора года, тогда как еще четверть не теряют актуальности даже спустя девять с половиной лет. Найти хорошего покупателя дело кропотливое не меньше, чем искать сам баг. В конце концов, есть теневой рынок и различного рода форумы, где в достаточной анонимности можно продать информацию за хорошие деньги.

Государственный бюджет на дыры

Не так давно и наше государство проявило интерес к поискам багов, выдвинув свое предложение. Власти РФ обещают платить хакерам за обнаруженные дыры. Родина-мать приглашает «исследователей» поискать уязвимости в IT-системах. Эта новость пришла к нам из плана мероприятий по информационной безопасности Программы цифровой экономики. Есть даже бюджет до конца 2020 г. На денежные премии и призы, за найденные уязвимости, по плану отводится 500 млн рублей из бюджета и 300 млн рублей внебюджетных средств. Хоть у хакеров негласно и принято держаться подальше от государства, эта модель может в корне изменить роль хакеров в отечественном кибер-пространстве. Государство, в свою очередь считавшее их врагами народа, сейчас разрабатывает планы по вербовке эксклюзивных кадров.