Китайцы заплатят россиянам за бреши в Android и iOS предположительно для создания кибероружия

Ряд российских компаний, которые специализируются на информационной безопасности, могут заработать на поиске уязвимостей операционных систем Android и iOS. C таким предложением к ним обратились люди от имени ассоциации ShenZhen Computer Users Association (SZCUA), которую эксперты «Коммерсанта» связывают с китайским правительством. По их мнению, уязвимости нужны Пекину для создания кибероружия.

В закладки

От лица SZCUA, в составе которого несколько крупных китайских IT-компаний, выступает некто Роберт Невский, представившийся торговым представителем ассоциации в России. Известно, что он просил некоторых специалистов по информационной безопасности продать ему скрипты с уязвимостью нулевого дня (0day, бреши в защите, о наличии которых ещё не знают разработчики программного обеспечения). Эти программы часто используются для атак на вычислительные системы.

Someone from Shenzhen Computer Association is desperate to by 0-day from me, anyone else getting mails from ISBA?

Письма от имени SZCUA российские IT-компании получили в августе, некоторым из них предложение поступило недавно.

Мы заинтересованы в покупке уязвимостей нулевого дня. Нам интересны os/cms/app/software/modems/office/browsers. На данный момент особенно интересны IE/modem/Android/iOS. Цена зависит от продукта. При первой сделке ценовой порог не превышает 100 тысяч долларов (цена обсуждается).

Выплаты в три этапа, первый — до получения продукта, второй — после получения и соответствующей проверки и третий — по истечении двух-трёх месяцев, чтобы убедиться, что эксплойт не был обнародован.

Роберт Невский, торговый представитель SZCUA в России

В сентябре аналогичные предложения получали британские компании, о чём их сотрудники писали в своих твиттерах. В беседе с «Коммерсантом» сооснователь конференции Steelcon Робин Вуд предположил, что эксплойты нужны китайцам для обеспечения государственных хакерских команд или для перепродажи на чёрном рынке.

Я проверил их, отправив им уже опубликованный эксплойт, и они ответили мне, что это не 0day. Они контактировали со мной несколько раз за последние 18 месяцев, а значит, это не просто какая-то группа, которая появилась и исчезнет через несколько недель.

Робин Вуд, сооснователь хакерской конференции Steelcon

Замдиректора по развитию бизнеса Positive Technologies Алексей Качалин добавил, что скрипты могут использовать в составе систем негласного съёма информации.

Часть купленного может идти для массовых систем, продаваемых на рынке спецсредств, вроде FinFisher, а наиболее интересные — припасены для собственных спецслужб и использованы в операциях, проводимых в интересах государства.

Алексей Качалин, замдиректора по развитию бизнеса Positive Technologies

SZCUA в ответ на запрос «Коммерсанта» заявила, что «не ведёт бизнес и никогда не делала таких вещей». В ассоциации отказались подтвердить факт отправки писем компаниям и то, что её интересы в России представляет Роберт Невский. Сам он тоже отказался общаться с журналистами.

Рынок скупки и перепродажи «дыр» в программном обеспечении существует давно. Наиболее известные площадки — Zerodium, Zeronomicon, которые предлагают от 100 до 500 тысяч долларов за найденные бреши в защите iOS и Android.

В начале июня открылась первая в России биржа по продаже ошибок в программном обеспечении — Expocod. Созданная бывшим сотрудником Росфинмониторинга Андреем Шороховым платформа позволяет продавать без посредничества и анонимно уязвимости в Linux, Windows, OS X, Tor, браузерах Chrome, Internet Explorer и других программах.

Многие производители сами оплачивают дыры в их софте, найденные хакерами и просто энтузиастами. Apple в сентябре 2016 года объявила награду в 50 тысяч долларов за уязвимости в доступе к iCloud. За брешь, позволяющую добраться до компонентов кода безопасной нагрузки, размер вознаграждения достигает 200 тысяч долларов.

Компания Google неоднократно увеличивала размер выплат за найденные «дыры». Сумма варьируется в зависимости от важности ошибки и самого софта. К примеру, за год существования программы Android Security Rewards компания выплатила 550 тысяч долларов 82 исследователям. Средний размер премии составил 2,2 тысячи долларов.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы рассказать свою историю.

Написать
{ "author_name": "Алексей Меркухин", "author_type": "self", "tags": [], "comments": 3, "likes": 20, "favorites": 3, "is_advertisement": false, "subsite_label": "flood", "id": 35663, "is_wide": false, "is_ugc": true, "date": "Wed, 12 Oct 2016 13:40:41 +0300" }
Офтоп
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]
Узнавайте важные новости первыми
Подписаться на push-уведомления