Уязвимости в различных компьютерных системах, это всегда проблема, причём проблема для разработчиков и для пользователей. Те, кто использует уязвимости, называются хакерами, их все считают злоумышленниками. Но всегда ли подкованный хакер – это зло? В последнее время крупные софтверные компании стали сами платить хакерам за взлом их систем, причём немалые деньги. Появились даже отдельные компании, которые называются брокерами уязвимостей, которые выкупают уязвимости, эксплоиты, и потом торгуются за них с разработчиками компьютерных систем, сотрудничают в плане исправления, закрытия дыр.
Один из таких брокеров Zerodium объявил о том, что временно повышает цены на уязвимости и эксплоиты. Сейчас востребованы на Hyper-V (это система от Microsoft) и vSphere (это ПО VMware). За одну рабочую зеродей-уязвимость и рабочий к ней эксплоит компания готова заплатить полмиллиона долларов! Зеродей, это уязвимость нулевого дня, то есть неизвестная до сих пор. Повышение очень существенное, ранее платили за такое 200 тысяч долларов. При этом у брокера есть условия, чтобы эксплоит срабатывал на конфигурациях по умолчанию, он должен быть надёжным (срабатывать почти всегда), и давать полный доступ.
Представители брокера объяснили такое повышение тем, что возрос интерес к таким вещам от клиентов компании. Ценники такими будут только несколько месяцев, впрочем, по истечению времени компания может принять решение вернуть их на прежний уровень, а может и оставить такими. Многое зависит от того, какие результаты принесёт данная акция.
Почему же у клиентов такой интерес к этим системам? Дело в том, что они используются на многих облачных сервисах и дата-центров. Hyper-V, это вообще сердце Microsoft Azure (корпоративная облачная платформа), что касается vSphere, то он используется на платформах SAP, а также сервисах Amazon. Сами облачные сервисы становятся всё популярнее, а с развитием 5G интерес к облакам возрастёт ещё больше, и ценность технологий возрастает в опережающем темпе.
Кстати, Zerodium не единственный, кто платит за уязвимости, конкурентов в этой области много, и самое главное, сама корпорация Microsoft весьма щедро платит за эксплоиты под Hyper-V. Вот только летом было очередное повышение цен до 250 тысяч долларов. Что примечательно, VMWare никогда за уязвимости не платит.
А что за бизнес такой у Zerodium, что она делает с купленными уязвимостями? Всё просто, они и сами ищут таковые, и покупают у третьих лиц. Информацию о них они сохраняют, нигде не публикуют. Затем они просто перепродают эти эксплоиты различным компаниям, правительствам, силовым структурам и прочим спецслужбам.
Поделись мнением о статье "Заработок на поиске уязвимостей", предложи свой вариант в комментариях! Спасибо!