[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "disable": true, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-101273134", "adfox_url": "//ads.adfox.ru/228129/getCode?p1=byaeu&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid11=&puid12=&puid13=&puid14=&puid21=&puid22=&puid31=&fmt=1&pr=" } } ]
{ "author_name": "Алексей Меркухин", "author_type": "self", "tags": [], "comments": 3, "likes": 21, "favorites": 3, "is_advertisement": false, "section_name": "blog", "id": "35663" }
Алексей Меркухин
3 826
Блоги

Китайцы заплатят россиянам за бреши в Android и iOS предположительно для создания кибероружия

Ряд российских компаний, которые специализируются на информационной безопасности, могут заработать на поиске уязвимостей операционных систем Android и iOS. C таким предложением к ним обратились люди от имени ассоциации ShenZhen Computer Users Association (SZCUA), которую эксперты «Коммерсанта» связывают с китайским правительством. По их мнению, уязвимости нужны Пекину для создания кибероружия.

Поделиться

В избранное

В избранном

От лица SZCUA, в составе которого несколько крупных китайских IT-компаний, выступает некто Роберт Невский, представившийся торговым представителем ассоциации в России. Известно, что он просил некоторых специалистов по информационной безопасности продать ему скрипты с уязвимостью нулевого дня (0day, бреши в защите, о наличии которых ещё не знают разработчики программного обеспечения). Эти программы часто используются для атак на вычислительные системы.

Письма от имени SZCUA российские IT-компании получили в августе, некоторым из них предложение поступило недавно.

Мы заинтересованы в покупке уязвимостей нулевого дня. Нам интересны os/cms/app/software/modems/office/browsers. На данный момент особенно интересны IE/modem/Android/iOS. Цена зависит от продукта. При первой сделке ценовой порог не превышает 100 тысяч долларов (цена обсуждается).

Выплаты в три этапа, первый — до получения продукта, второй — после получения и соответствующей проверки и третий — по истечении двух-трёх месяцев, чтобы убедиться, что эксплойт не был обнародован.

Роберт Невский, торговый представитель SZCUA в России

В сентябре аналогичные предложения получали британские компании, о чём их сотрудники писали в своих твиттерах. В беседе с «Коммерсантом» сооснователь конференции Steelcon Робин Вуд предположил, что эксплойты нужны китайцам для обеспечения государственных хакерских команд или для перепродажи на чёрном рынке.

Я проверил их, отправив им уже опубликованный эксплойт, и они ответили мне, что это не 0day. Они контактировали со мной несколько раз за последние 18 месяцев, а значит, это не просто какая-то группа, которая появилась и исчезнет через несколько недель.

Робин Вуд, сооснователь хакерской конференции Steelcon

Замдиректора по развитию бизнеса Positive Technologies Алексей Качалин добавил, что скрипты могут использовать в составе систем негласного съёма информации.

Часть купленного может идти для массовых систем, продаваемых на рынке спецсредств, вроде FinFisher, а наиболее интересные — припасены для собственных спецслужб и использованы в операциях, проводимых в интересах государства.

Алексей Качалин, замдиректора по развитию бизнеса Positive Technologies

SZCUA в ответ на запрос «Коммерсанта» заявила, что «не ведёт бизнес и никогда не делала таких вещей». В ассоциации отказались подтвердить факт отправки писем компаниям и то, что её интересы в России представляет Роберт Невский. Сам он тоже отказался общаться с журналистами.

Рынок скупки и перепродажи «дыр» в программном обеспечении существует давно. Наиболее известные площадки — Zerodium, Zeronomicon, которые предлагают от 100 до 500 тысяч долларов за найденные бреши в защите iOS и Android.

В начале июня открылась первая в России биржа по продаже ошибок в программном обеспечении — Expocod. Созданная бывшим сотрудником Росфинмониторинга Андреем Шороховым платформа позволяет продавать без посредничества и анонимно уязвимости в Linux, Windows, OS X, Tor, браузерах Chrome, Internet Explorer и других программах.

Многие производители сами оплачивают дыры в их софте, найденные хакерами и просто энтузиастами. Apple в сентябре 2016 года объявила награду в 50 тысяч долларов за уязвимости в доступе к iCloud. За брешь, позволяющую добраться до компонентов кода безопасной нагрузки, размер вознаграждения достигает 200 тысяч долларов.

Компания Google неоднократно увеличивала размер выплат за найденные «дыры». Сумма варьируется в зависимости от важности ошибки и самого софта. К примеру, за год существования программы Android Security Rewards компания выплатила 550 тысяч долларов 82 исследователям. Средний размер премии составил 2,2 тысячи долларов.

Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Лучшие комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против