В 140 знака хакерски жаргон, френската компания за киберсигурност Vupen обяви на 30 октомври 2012 г., че е открила пробив в сигурността на Windows 8 и ще продава информация за него: Our first 0day for Win8+IE10 with HiASLR/AntiROP/DEP & Prot Mode sandbox bypass (Flash not needed) is ready for customers. Welcome #Windows8
Microsoft тъкмо бяха представили новото си поколение операционни системи за компютри, телефони и таблети. С помощта на дупката в сигурността, Vupen (или друг екип от хакери) биха могли да създадат зловреден код, който да установява контрол над всякакви Windows 8 устройства.
Компютърните специалисти от Монпелие са известни с уменията си да пробиват сигурността на софтуерни продукти. През 2011 г. Vupen спечелиха състезанието Pwn2Own във Ванкувър, като използваха слабост на браузъра Apple Safari, за да получат пълен контрол над Macbook. Чауки Бекрар от Vupen обясни пред ZDNet, че техният експлойт изисква от жертвата единствено да посети заразена страница, след което машината е под пълния контрол на хакерите.
Французите повториха успеха си година по-късно, когато на Pwn2Own успешно пробиха Google Chrome и Internet Explorer 9. От Google даже предложиха 60 000 долара за информация как точно уеб браузърът им е бил компрометиран.
Бекрар посочи, че платежоспособните клиенти на Vupen ще получат информацията и иронично попита в Twitter колко милиона долара са платили от Adobe за изследване на сигурността на Flash и добавянето му в Chrome. От Интернет гиганта влязоха в тона му, като го нарекоха „опортюнист с етични проблеми".
Които са платежоспособните клиенти на Vupen? Когато хакерите открият слабост в софтуерен продукт и разработят експлойт за него, обикновено те се свързват с разработчика и с общи усилия поправят проблема. В продължение на години това бяха чисто джентълменски жестове, но от началото на новия век хакерите масово искат заплащане за услугите си. Вече има истински ценоразпис - софтуерни и телекомуникационни компании плащат от 100 до 20 000 долара за открит опасен бъг.
Някои хакери и техните компании въобще не се занимават с разработчиците на пробития от тях софтуер. Те оперират в сферата на „нападателната сигурност" - ефемизъм за шпионажа и кражбата на данни. Продават експлойтите си на този, който им предложи най-много пари. Най-често купувачите са официални служби - полицията, армията и тайните служби. Те използват зловредния код за следене на престъпници, съмнителни компании... или превантивен шпионаж на редови граждани.
Някои държави си купуват хакерско ноу-хау за саботаж. Така през 2010 г. на компютърните специалисти в Иран се отвори доста работа, след като вирусът Stuxnet (смятан за съвместна разработка на САЩ и Израел - бел.ред) порази център за обогатяване на уран и чрез изпращане на погрешни команди започна да поврежда оборудването в него.
Заради този риск, правителства и компании трябва непрекъснато да са информирани за пробивите в сигурността на използваните от тях системи. Така те отново се налага да търсят помощта на частния сектор в лицето на хакерите.
В САЩ някои оръжейни компании имат цели отдели за „офанзивна сигурност" - напр. Raytheon и Northrop Grumman. Сред хакерските компании зад Океана най-известна е Immunity, която предлага различни продукти за неоторизиран достъп в компютърни системи.
В този доходоносен пазар непрекъснато се появяват нови имена. В някои случаи даже независими хакери се опитват да продадат своите експлойти. Това може да донесе на талантлив компютърен специалист стотици хиляди долари годишно.
Европейските хакери са изключително активни. Наскоро ви разказахме за германците от Gamma Group, които продават софтуер за следене на диктаторски режими, в Италия действат Hacking Team, но най-голямото име на Стария континент си остава Vupen.
На сайта си французите подчертават, че не продават експлойти на всеки и зачитат всяко ембарго, наложено от ЕС, ООН и САЩ. Техни клиенти могат да бъдат само членове на НАТО и организации на страните от Азия и Тихоокеанския регион.
Въпреки това, компании като Vupen имат много критици. В САЩ по-либерално настроени хакери, правозащитници и компании като Google правят кампании, в които сравняват продавачите на експлойти с търговци на оръжие.
Един от основните им доводи е, че инструментите за пробив в сигурността винаги стигат до авторитарните режими - по един или друг начин. Освен това, мнозина оспорват правото даже на демократичните държави да влизат в компютрите на свои граждани. Не е за подценяване и вероятността държави като Иран да насочат своите кибероръжия на Запад - към същите държави, от които са хакерите, с които по-рано са сключили сделка.
Въпреки това, във Франция има и хора, които смятат Vupen за „едно от техническите бижута" на страната. „Чауки Бекрар е истински изпълнителен директор и патриот, който работи за страната си", коментира Ерик Фильол, който е не само експерт по криптография, но и бивш агент на тайните служби...
