В дип-вебе, так называемом глубоком Интернете, появился новый магазин, претендующий на лавры SilkRoad нового поколения — TheRealDeal Market. В отличие от других площадок в анонимном Интернете, он специализируется на продаже современного цифрового оружия — информации об уязвимостях.
В дип-вебе, так называемом глубоком Интернете, появился новый магазин, претендующий на лавры SilkRoad нового поколения — TheRealDeal Market.
В отличие от других площадок в анонимном Интернете, торгующих запрещенными или полулегальными товарами, TheRealDeal специализируется на продаже современного цифрового оружия — информации об уязвимостях. В том числе, о так называемых уязвимостях нулевого дня.
Этот термин означает ошибку в программном коде, которую нельзя исправить вовремя. Для устранения такой уязвимости разработчик должен выпустить специальную заплатку, но зачастую на ее создание уходит слишком много времени, которого, однако, может хватить хакерам для совершения какого-либо злодеяния.
При этом разработчик может и не знать о наличии такой ошибки. Поэтому все крупнейшие корпорации имеют так называемые Баунти Программ. Они имеются и у Мэйл Груп, и у Яндекса. Однако больше всех платят крупнейшие компании, такие как Майкрософт или Google. Именно их размеры вознаграждений и формируют цены на "белом рынке" уязвимостей. В зависимости от актуальности данных цены могут достигать двухсот-трехсот тысяч долларов.
TheRealDeal Market является одним из информационных черных рынков. Зайти на этот сайт можно исключительно через анонимный браузер Tor, а расплатиться — только при помощи криптовалюты bitcoin. Таким образом, по мнению разработчиков сайта, никто не сможет опознать ни покупателя, ни продавца, ни администратора магазина.
Такая абсолютная анонимность, по мнению создателей ресурса, должна привлечь на сайт самых разных лиц — не только корпоративных клиентов и киберпреступников, но и представителей спецслужб. Дело в том, что госорганы сами охотно платят за информацию о зиро-дей уязвимостях, и более того — могут скрывать ее от софтверных компаний.
Например, известен случай с французским торговцем Vupen, который отказался продавать Google информацию об уязвимости нулевого дня, обнаруженную в браузере Google Chrome. И это при том, что Vupen утверждает, что не продает свою информацию никому кроме стран НАТО. "Мы не поделимся этим с Google даже за миллион долларов", — сказал глава Вупэн журналисту Форбс. — Мы не хотим делиться с ними знанием о том, как исправить эту и другие ошибки. Мы хотим оставить эти данные нашим клиентам".
Несмотря на то, что свои имена разработчики магазина скрывают, известно, что их четверо, и что до этого они уже имели дело с торговлей конфидециальной информацией. Они даже запускали похожий сайт под названием ВабиСабиЛаби, который, однако, так и не сыскал успеха. Проблема заключалась в том, что покупатели не верили продавцам. Последние, в свою очередь, не могли подтвердить актуальность продаваемой информации. Решили ли разработчики эту проблему на новом ресурсе — неизвестно. На данный момент на theRealDeal Market можно найти крайне неправдоподобные лоты.
Например, один из продавцов предлагает купить уязвимость облачного хранилища Apple — iCloud — всего за 17 000 долларов. Среди других лотов можно найти и чуть более правдоподобные. К примеру, информацию по взлому Inernet Explorer для Windos xp, Vista и Windows 7 — за 8 000 долларов.
Разработчики сайта уверяют, что, в случае обмана, деньги можно будет вернуть. Для этого администрация сайта специально курирует сделки. TheRealDeal Market не имеет собственного биткоин кошелька. Вместо этого деньги переводятся на счет, контролируемый с трех сторон: покупателем, продавцом и администрацией сайта.
Для успешного перевода денег требуется подтверждение от двух из трех участников сделки. В случае разногласий, решающий голос останется за администрацией ресурса. Однако, неизвестно, каким образом TheRealDeal будет проверять актуальность уязвимостей.