Nawet 5 milionów dolarów płaci się na czarnym rynku za dobre exploity w oprogramowaniu Adobe – stwierdził niedawno w jednym z wywiadów Matt Moynahan, prezes zajmującej się sprawami bezpieczeństwa firmy Veracode. Jednak rzeczywiste szacunki wskazują raczej na kwoty rzędu 100 tysięcy dolarów.
Nawet 5 milionów dolarów płaci się na czarnym rynku za dobre exploity w oprogramowaniu Adobe - stwierdził niedawno w jednym z wywiadów Matt Moynahan, prezes zajmującej się sprawami bezpieczeństwa firmy Veracode. Jednak rzeczywiste szacunki wskazują raczej na kwoty rzędu 100 tysięcy dolarów.
Odkąd Stuxnet wykorzystał cztery luki Zero Day w Windows, wciąż spekuluje się, ile na czarnym rynku kosztują informacje dotyczące tego rodzaju usterek. W każdym razie podaną przez Moynahana zawrotną sumę większość ekspertów od zabezpieczeń uważa za znacznie przesadzoną. Nawet on sam w jednym z wpisów w blogu skorygował własne wyliczenia do przedziału cenowego na poziomie od 10. do 500 tysięcy dolarów.
Dolną granicę tego przedziału Dan Holden uważa za realistyczną. Kieruje on działem badań nad bezpieczeństwem w ośrodku DV Labs, do którego należy między innymi projekt ZDI (Zero Day Initiative), znany za sprawą konkursu Pwn2Own. W rozmowie z heise Security Holden oznajmił, że exploity dla szeroko rozpowszechnionych produktów, np. Adobe Readera, Internet Explorera czy Windows, osiągają na czarnym rynku ceny od 5. do 100 tysięcy dolarów. "Popyt zależy zawsze od celu przyświecającego napastnikom. Czasami poszukiwane są luki nadające się do przeprowadzenia ataków z użyciem robaków. Innym razem chodzi o zainfekowanie niewielkiej liczby ofiar metodą Spear Phishingu" – wyjaśnił Holden. To ostatnie najłatwiej zrealizować za pośrednictwem luk w Adobe Readerze lub w jednej z aplikacji biurowych.
Holden wie, o czym mówi, bo w końcu sam ZDI skupuje usterki bezpieczeństwa, stając się bezpośrednią konkurencją dla czarnorynkowych nabywców.
wydanie internetowe www.heise-online.pl
