IT-компании из Китая обратились в среду к российским коллегам с предложением продать ранее неизвестные уязвимости в операционных системах Android, iOS, а также браузерах и другом софте.

Заказчики назвали себя представителями ассоциации ShenZhen Computer Users Association (SZCUA).

Они хотят купить «эксплойты», о наличии которых сама компания-разработчик софта еще не знает. Цена за такую программу может доходить до $100 тыс.

Как предположил сооснователь хакерской конференции Steelcom Роберт Вуд, SZCUA может снабжать этими «дырами» государственные хакерские команды или продавать эти программы на черном рынке внутри Китая.

С точки зрения профессиональной этики, подобные предложения выглядят очень странно, чтобы не сказать — неприлично, потому что моральный кодекс IT-индустрии требует сообщать об уязвимости создателю софта в течение двух недель после обнаружения «дырки», и делать это бесплатно, говорит эксперт Центра электронного государства Андрей Анненков.

«Делается это для того, чтобы злоумышленники не могли воспользоваться уязвимостью прежде, чем производитель ее устранит. Конечно же, это товар. Каждая компания в сфере компьютерной безопасности заинтересована в знаниях о как можно большем количестве дырок в чужом софте. Если она эту информацию продаст на открытом рынке, ни от кого не убудет», — сказал он «Ридусу».

Однако можно с трудом представить, чтобы легально работающая компания, та же SZCUA (если это в самом деле она), пыталась подкупить сотрудников российских производителей ПО, чтобы те сообщали стороннему заказчику об уязвимостях прежде, чем собственному работодателю.

«Это неэтично и нелегально. В контрактах таких специалистов обычно прописан запрет работать на сторону: нельзя играть на одном поле за две команды сразу. Видимо, понимая это, китайцы и предлагают заоблачные для этого рынка суммы вознаграждения любителям поковыряться в чужом коде. В природе просто не существует специалистов нужного уровня, которые при этом были бы безработными либо были готовы поставить на кон свою репутацию, если их „предательство“ всплывет», — объясняет эксперт.

Не исключено поэтому, что обещание $100,000 за «супружескую неверность» — это вообще пиаровский ход, если это исходит от «белой» (даже китайской) компании просто потому, что отбить такие затраты легально будет невозможно.

А вот любого рода хакеры в самом деле готовы дорого платить за подобную информацию. Как пел Крис де Бург, «шпионаж — серьезный бизнес».

• Телеграм
• Дзен
• Подписывайтесь на наши каналы и первыми узнавайте о главных новостях и важнейших событиях дня.