Основы Интернет - технологий.

Появившаяся в этом месяце компания Advanced Security Solutions из ОАЭ предлагает до 20 млн долларов США за 0-day уязвимости и эксплоиты, которые позволят взломать любой смартфон через текстовое сообщение. Это одна из наиболее высоких цен среди всех брокеров уязвимостей, по крайней мере, среди тех, кто раскрывает такие данные публично. Помимо 20 млн долларов за эксплоиты для любой мобильной ОС, компания также предлагает крупные вознаграждения за уязвимости нулевого дня в другом софте: до 15 млн долларов за 0-day, приводящие к полной компрометации Android и iPhone; до 10 млн долларов за аналогичные эксплоиты для Windows и Linux; до 5 млн долларов за аналогичные эксплоиты для браузера Chrome; до 1 млн долларов за аналогичные эксплоиты для Safari и Microsoft Edge. При этом неясно, кто стоит за компанией, и кто ее клиенты. «Мы помогаем правительственным агентствам, спецслужбам и правоохранительным органам проводить точные операции на цифровом поле боя, — говорится на сайте Advanced Security Solutions. — Мы поддерживаем постоянное сотрудничество с более чем 25 правительствами и разведслужбами по всему миру. Наши клиенты постоянно возвращаются за новыми услугами, что отражает доверие и стратегическую ценность, которую мы обеспечиваем в критических операционных контекстах, включая борьбу с терроризмом и наркоторговлей». Также на сайте утверждается, что хотя компания новая, в ней работают «только профессионалы с более чем 20-летним опытом в элитных разведподразделениях и частных военных подрядчиках». Как сообщает издание TechCrunch, со ссылкой на собственные источники на рынке брокеров уязвимостей, расценки Advanced Security Solutions примерно соответствуют средним по рынку. «Обычно заявленные цены вполне реальны», — рассказал собеседник издания на условиях анонимности. Также он добавил, что вознаграждение в размере 20 млн долларов не считается огромным на рынке 0-day, и в конечном итоге «все зависит от вашей беспринципности». Издание напоминает, что за последние 10 лет рынок уязвимостей нулевого дня значительно вырос как по количеству компаний, так и по предлагаемым ценам. Одним из первых игроков в этой области стала компания Zerodium, появившаяся в 2015 году. Тогда компания, созданная сооснователем Vupen Чауки Бекраром (Chaouki Bekrar), предложила до 1 млн долларов за инструменты взлома iPhone. Три года спустя, в 2018 году, компания Crowdfense запустила собственную платформу для покупки уязвимостей и эксплоитов, предложив до 3 млн долларов за аналогичные zero-day. В последнее время цены на 0-day выросли — отчасти из-за повышенного спроса, отчасти потому, что взламывать современные устройства и софт становится все труднее благодаря улучшению их безопасности. Так, в прошлом году Crowdfense опубликовала новый прайс-лист, предложив до 7 млн долларов за уязвимости нулевого дня в iPhone и до 5 млн долларов за аналогичные эксплоиты для Android. Zero-day в конкретных приложениях тоже стали стоить намного дороже. Например, до 8 млн долларов за эксплоиты в WhatsApp и iMessage и до 4 млн долларов в Telegram. Для сравнения: Advanced Security Solutions предлагает до 2 млн долларов за эксплоиты для Telegram, Signal и WhatsApp. Также стоит отметить, что в начале текущего года российский брокер уязвимостей, компания Operation Zero стала исключением на рынке, предложив до 20 млн долларов за те же типы эксплоитов, которые теперь ищет Advanced Security Solutions.