Exploitų kainos paviešintuose Hacker Team laiškuose

Prieš pusantro mėnesio buvo nulaužta Italijos kompanija Hacking Team ir paviešintas jos laiškų archyvas. Hacking Team buvo ne šiaip kompanija — ji gamindavo kompiuterių nulaužimo įrangą ir pardavinėdavo ją valstybinėms teisėsaugos institucijoms. Kompanija susilaukdavo didelės kritikos, nes ji klientų nesirinkdavo. Pardavinėdavo bet kam, kas tik sumokėdavo pinigų, įskaitant įvairius diktatorius. Pardavinėdavo net Somaliui, kuriam šiaip jau buvo įvestos prekybos sankcijos.

Hacking Team was hacked
Hacking Team was hacked

Šį laiškų archyvą dabar nagrinėja kas netingi. Microsoft ir Adobe jau užlopė keletą iki tol nežinomų skylių, kurios buvo paminėtos laiškuose.

Lietuviškų klientų Hacking Team’as neturėjo. Lietuvos Vidaus Saugumo Departamentas bei Kriminalinė Policija domėjosi šiomis įsilaužimo programomis, tačiau nieko nepirko dėl aukštos kainos, kuri siekė šimtus tūkstančių ir netgi milijonų. Pirkimui taip pat trukdė įvairūs lietuviški tarpininkai, kurie bandė iš tokių stambių pirkimų uždirbti nemenką procentą.

Šiandien radau įdomią saugumo eksperto Vlado Tsirklevičiaus analizę apie Hacking Team’o nusipirktus zero-day exploitus. Hacking Team’as pats exploitų nerašydavo, o įsigydavo juos iš hakerių, kurie rašydavo exploitus, bet patys nieko nenulaužinėdavo. Už Exploitus mokėdavo nuo 40 000 USD iki 200 000 USD. Iš laiškų matyti, kad labai brangių exploitų nepajėgdavo įsigyti. Ieškodavo visokios piguvos, derėdavosi kiek įmanoma. Beje, patys brangiausi buvo Apple iPhone exploitai. Jie kainuodavo net iki pusės milijono USD. Pigiausi — Adobe Flash, Explorerio exploitai. Kartais Hacking Team’as ir prašaudavo, nusipirkę ne exploitų, o neveikiančio šlamšto.

Acceptance testing: For their first purchase, Hacking Team had a three-day evaluation period during which a Flash 0day could be tested to make sure it reliably worked against the advertised targets. Hacking Team originally proposed to fly Vitaliy to Milan to be present for the testing; however, he assumed good faith on their part and allowed them to test the exploit remotely. They continued this arrangement for their future sales.

Payment structure: The payment terms for Vitaliy’s first two exploits followed approximately a 50%/25%/25% split. He would be paid 50% upfront, and then 25% for the next two months, assuming the vulnerability was not patched. Before he sold his third exploit he intended to change his payment model so that he would be paid 100% up-front and provide a replacement exploit if his sale was patched within two months.

Nuorodos.
Hacking Team WikiLeaks laiškų archyvas: https://wikileaks.org/hackingteam/emails/
Vlado Tsirklevičiaus analizė: https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/

Tsirklevičiaus tekstą labai rekomenduoju paskaityti, rasite daug įdomių dalykų apie hakerių verslą.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">