11月18日Zerodium(0day中间商)发布了各类从网络罪犯购买然后转售给需求者的目标软件和入侵方法的价格表。 漏洞平台发布价格表 Zerodium首席执行官Chaouki Bekrar表示: “0day交易的第一条规则就是永远不要公开讨论价格。但是我们依然要发布我们的收购价格清单!” Zerodium表示,例如,如果通过Internet浏览器或Safari浏览器攻击计算机或远程控制用户的电脑最高可以获取50000美元。但如果目标比较困难攻破,像谷歌浏览器,价格将会上升至80000美元。如果目标是Windows手机设备或安卓系统,那价格将进一步增加至100000美元。到目前为止列表上的最高价格是攻击者通过iOS攻击赚取了150000美元。 看看下面的图表,这个表代表了现在黑市交易一个相对全面的价格: 公司明确地表示买来的0day漏洞必须只能是Zerodium的。为防止软件商发布补丁,卖给他们的黑客绝不能转售给其他人或向软件商透露漏洞。 他们还只会支付列表上那些“必须独家的,从前从未报告过的漏洞”。 可换句话说,Zerodium也是在以其方法为用户保密。因为在Zerodium的FAQ页面里他们的客户会有“政府组织需要一些特定的并量身定做的网络安全能力。”可是,他们的客户需要每年支付至少500000美元来查阅它的漏洞。 Zerodium在九月表示: “iOS,像所有的操作系统,都会受到一些重要的安全漏洞的影响,不过由于开发商的不断地改进,所以iOS系统可以说是目前最安全的移动操作系统。但安全一向不是牢不可破的,它只意味着iOS团队有目前最高的成本。所以,我们这里百万美元的iOS 9漏洞有很大的作用。” 2013年政府监督网站Muckrock就曾表示NSA是Vupen的客户之一。 有很多人对此表示不满,比如谷歌的Justin Schul就称Bekrar是“伦理挑战的机会主义者”,一位技术专家Chris Soghoian还称Vupen是专卖“网络战争子弹”的“现代死亡商团”。 *原文链接:securityaffairs,FB小编江湖小吓编译 |