IT-компании из Китая обратились в среду к российским коллегам с предложением продать ранее неизвестные уязвимости в операционных системах Android, iOS, а также браузерах и другом софте, сообщил «Ридус».
Заказчики назвали себя представителями ассоциации ShenZhen Computer Users Association (SZCUA), в состав которой входят крупные китайские корпорации Kingdee International Software Group и China Greatwall Computer Shenzhen Co.
Они хотят купить «эксплойты», о наличии которых сама компания-разработчик софта еще не знает. В этом смысле подобные уязвимости вполне подпадают под определение «черных дыр», потому что такие объекты в космосе никогда не выдают проглоченную однажды информацию.
Цена за такую программу при первой сделке не превышает 100 тыс. долларов.
Как предположил сооснователь хакерской конференции Steelcom Роберт Вуд, SZCUA может снабжать этими «дырами» китайские государственные хакерские команды или продавать эти программы на черном рынке внутри Китая.
С точки зрения профессиональной этики, подобные предложения выглядят очень странно, чтобы не сказать – неприлично, потому что моральный кодекс IT-индустрии требует сообщать об уязвимости создателю софта в течение двух недель после обнаружения «дырки», и делать это бесплатно, говорит эксперт Центра электронного государства Андрей Анненков.
«Делается это для того, чтобы злоумышленники не могли воспользоваться уязвимостью прежде, чем производитель ее устранит. Конечно же, это товар. Каждая компания в сфере компьютерной безопасности заинтересована в знаниях о как можно большем количестве дырок в чужом софте. Если она эту информацию продаст на открытом рынке, ни от кого не убудет», – выразил мнение Анненков.
Однако можно с трудом представить, чтобы легально работающая компания, та же SZCUA (если это в самом деле она), пыталась подкупить сотрудников российских производителей ПО, чтобы те сообщали стороннему заказчику об уязвимостях прежде, чем собственному работодателю.
«Это неэтично и нелегально. В контрактах таких специалистов обычно прописан запрет работать на сторону: нельзя играть на одном поле за две команды сразу. Видимо, понимая это, китайцы и предлагают заоблачные для этого рынка суммы вознаграждения любителям поковыряться в чужом коде. В природе просто не существует специалистов нужного уровня, которые при этом были бы безработными либо были готовы поставить на кон свою репутацию, если их «левая работа» всплывет», – объясняет эксперт.
Не исключено поэтому, что обещание 100 тыс. долларов – это вообще пиаровский ход, если это исходит от «белой» (даже китайской) компании просто потому, что отбить такие затраты легально будет невозможно, отмечает издание. А вот любого рода хакеры в самом деле готовы дорого платить за подобную информацию.