Продажа эксплоитов на черных рынках способствует саботажу IT-специалистов

Цены на эксплоиты на черных рынках очень высоки, так как поиск уязвимостей осуществляют высокооплачиваемые IT-профессионалы. Эксперт Брюс Шнайер заявил , что продажа спецслужбам zero-day уязвимостей на черных рынках повлекла за собой несколько побочных эффектов. В своем исследовании Шнайер уделил внимание деятелньости таких компаний, как Vupen, Netragard, Endgame и других брокеров. Эти компании покупают эксплоиты у независимых хакеров и перепродают их западным спецслужбам. По словам Шнайера, некоторые уязвимости обходятся спецслужбам в $250 тыс. Такие расценки связаны с тем, что в настоящий момент поиск уязвимостей осуществляют профессиональные специалисты в области информационной безопасности.

Раньше при обнаружении уязвимости хакеры сначала уведомляли о ней разработчика, а потом уже публиковали эксплоит в открытом доступе. За это время компании выпускали патчи и исправляли уязвимости, старались повышать уровень защищенности программного обеспечения. Сейчас ситуация изменилась, так как покупатели на черном рынке не заинтересованы в устранении уязвимостей. В частности, государственные службы ряда стран прикладывают все усилия для того, чтобы уязвимость оставалась неисправленной даже после того, как разработчику сообщили о ней.

Такое развитие событий способствует тому, чтобы программисты крупных софтверных компаний, к примеру, Microsoft и Google, не исправляли ошибки в программном коде и тайно продавали уязвимости государственным агентствам. Такой саботаж выявить практически невозможно, так как ни у одной софтверной компании в мире нет надежной системы аудита кода, которая позволит обнаружить ошибку и доказать злой умысел.

http://securitylab.ru/