Ile wynoszą czarnorynkowe ceny exploitów
Cyberprzestępcy stworzyli prężny czarny rynek złośliwego oprogramowania. Ceny wirusów dochodzą ponoć do 5 mln dolarów.
Nawet 5 milionów dolarów płaci się na czarnym rynku za dobre exploity w oprogramowaniu Adobe - stwierdził niedawno w jednym z wywiadów Matt Moynahan, prezes zajmującej się sprawami bezpieczeństwa firmy Veracode. Jednak rzeczywiste szacunki wskazują raczej na kwoty rzędu 100 tysięcy dolarów.
Odkąd Stuxnet wykorzystał cztery luki Zero Day w Windows, wciąż spekuluje się, ile na czarnym rynku kosztują informacje dotyczące tego rodzaju usterek. W każdym razie podaną przez Moynahana zawrotną sumę większość ekspertów od zabezpieczeń uważa za znacznie przesadzoną. Nawet on sam w jednym z wpisów w blogu skorygował własne wyliczenia do przedziału cenowego na poziomie od 100 do 500 tysięcy dolarów.
Dolną granicę tego przedziału Dan Holden uważa za realistyczną. Kieruje on działem badań nad bezpieczeństwem w ośrodku DV Labs, do którego należy między innymi projekt ZDI (Zero Day Initiative), znany za sprawą konkursu Pwn2Own.
W rozmowie z heise Security Holden oznajmił, że exploity dla szeroko rozpowszechnionych produktów, np. Adobe Readera, Internet Explorera czy Windows, osiągają na czarnym rynku ceny od 50 do 100 tysięcy dolarów. - Popyt zależy zawsze od celu przyświecającego napastnikom. Czasami poszukiwane są luki nadające się do przeprowadzenia ataków z użyciem robaków. Innym razem chodzi o zainfekowanie niewielkiej liczby ofiar metodą Spear Phishingu - wyjaśnił Holden.
To ostatnie najłatwiej zrealizować za pośrednictwem luk w Adobe Readerze lub w jednej z aplikacji biurowych. Holden wie, o czym mówi, bo w końcu sam ZDI skupuje usterki bezpieczeństwa, stając się bezpośrednią konkurencją dla czarnorynkowych nabywców.
