Зачем это нужно
SZCUA заинтересована в информации об уязвимостях в Android, iOS, браузерах и другом программном обеспечении. Чаще всего такие данные используют государственные структуры, создавая кибероружие против IT-систем других стран, крупных корпораций и т.п. Эксперты полагают, что ассоциация могла получить заказ от китайских государственных хакерских команд.
Что предлагали
Представителем SZCUA в России (официальный сайт подразделения - www.szcua.org) называл себя некий Роберт Невский. Он обратился, по меньшей мере, к пяти российским IT-компанием с предложением купить эксплойты, которые используют уязвимости нулевого дня (те, о которых не знает компания-разработчик программного обеспечения).
Нам интересны os/cms/app/software/modems/office/browsers. На данный момент особенно интересны IE/modem/Android/iOS. Цена зависит от продукта. При первой сделке ценовой порог не превышает $100 тыс. (цена обсуждается).
Невский также заявил, что выплаты будут проведены в три этапа: до получения информации, после получения и проверки, а также через 2-3 месяца – чтобы убедиться, что российские специалисты не обнародовали эксплойт.
В профиле Невского в LinkedIn указано, что он работает в SZCUA с июня 2016 года. Ассоциация стала отправлять письма в августе. В середине прошлого года о подобных предложениях сообщали британские компании. Однако официально в SZCUA заявляют, что «ассоциация не ведет бизнес и никогда не делала таких вещей», а о принадлежности Невского к организации не отвечают.
Законно ли это
Директор по маркетингу Solar Security Валентин Крохин отмечает:
В России такая сделка — предмет ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ».
Однако ряд экспертов утверждает, что купля-продажа такой информации не всегда попадает под действие УК – иногда эксплойты применяются легально, в частности, для проверки устойчивости IT-систем. Пока данные не используются для взлома, дело завести нельзя.
Читайте также:
