ФБР или АНБ обладают необходимыми ресурсами, чтобы взламывать устройства самостоятельно, но часто отдают эту работу на аутсорс сторонним хакерам и компаниям, которые работают на "сером рынке".
В официальных заявлениях общественности и Конгрессу США ФБР неоднократно предоставляло завышенные данные о количестве зашифрованных мобильных устройств, фигурирующих в расследованиях уголовных дел. Это было необходимо, дабы оправдать необходимость принятия мер против так называемой проблемы Going Dark, когда правоохранительные органы не могут получить доступ к информации из-за излишнего, по их мнению, шифрования.
В частности, в январе 2018 г. директор ФБР Кристофер Рэй говорил о 7800 смартфонах, к которым сотрудники ведомства не смогли получить доступ за последние семь месяцев 2017 г. Издание The Washington Post со ссылкой на свои источники заверило, что это число сильно преувеличено, на самом деле ФБР не удалось взломать от 1 тыс. до 2 тыс. устройств.
После чего представители ФБР признали свою оплошность, заявив следующее: "Ошибка программы подсчета привела к значительному завышению количества мобильных устройств. Going Dark остается серьезной проблемой для ФБР, а также других федеральных, государственных, местных и международных правоохранительных органов. ФБР продолжит решение этой проблемы, которое обеспечит правоохранительным органам доступ к доказательствам преступной деятельности в соответствии с законом", – говорится в заявлении ФБР.
В большинстве случаев взломать зашифрованные устройства удается при помощи уязвимости "нулевого дня" (0-day) - неустраненные уязвимости, а также вредоносные программы, против которых еще не разработаны защитные механизмы.
Агентства вроде ФБР обладают необходимыми компетенциями и ресурсами, чтобы взламывать устройства самостоятельно, но они также отдают эту работу на аутсорс сторонним хакерам и компаниям, которые работают на "сером рынке", где для государственных и корпоративных клиентов предлагают хакерские услуги, в том числе связанные с эксплуатированием уязвимостей "нулевого дня".
ФБР оказывает все большее давление на технологические компании, чтобы те предоставляли ведомству доступ к зашифрованным устройствам в случае необходимости. В 2016 г. произошел самый громкий такой случай, когда ФБР требовало от Apple разблокировать iPhone, принадлежавший одному из стрелков в Сан-Бернардино. Компания отказалась выполнять требование, в итоге ФБР пришлось искать другие способы взлома устройства. В итоге ФБР заплатила около $1,3 млн компании с "серого рынка" за эксплойт - указание на "дырку" в операционной системе, при помощи которой можно получить доступ к устройству.
В 2012 г. стало известно, что Агентство национальной безопасности США (АНБ) покупало данные об уязвимых местах интернет-сайтов у частной французской компании VUPEN. Контракт между VUPEN и АНБ сроком на один год был заключен 14 сентября 2012 г. По сообщениям в СМИ, АНБ выделило $25,1 млн на покупку эксплоитов в 2013 г.
Ранее французская компания VUPEN сотрудничала с представителями НАТО. По заявлениям представителей фирмы, они действительно продают свою информацию военным и спецслужбам, однако сотрудничают только с "достойными доверия демократическими странами". После компания закрылась, но в 2015 г. вновь продолжила деятельность под именем Zerodium.
Тогда как Vupen преимущественно занималась разработкой собственных эксплоитов, Zerodium имеет не только собственную команду девелоперов, но также приобретает эксплоиты и уязвимости у третьих сторон. Представители Zerodium нередко устраивают своеобразные "акции" для ИБ-исследователей, на время повышая размер выплат за те или иначе баги. К примеру, в сентябре прошлого года Zerodium предлагала миллион долларов за баги в Tor Browser.
На этот раз представители компании анонсировали, что до 31 марта 2018 г. будет повышен размер выплат за обнаружение уязвимостей, позволяющих осуществить локальное повышение привилегий в Linux. В нормальных обстоятельствах эксплоит для такой 0-day уязвимости принес бы его автору $30 тыс., но до конца марта "тариф" вырос до $45 тыс.
Для федеральных агентств существует один существенный стимул для использования "серого рынка": он позволяет им обойти "процесс документирования уязвимостей" (Vulnerabilities Equities Process, VEP), который определяет, подлежит ли информация об уязвимости, обнаруженной сотрудниками правительства или его подрядчиками, публикации.
"Правительственные учреждения обязаны засекречивать и/или передавать на дальнейшую обработку в соответствии с политиками секретности определенного департамента или агентства уязвимости, обнаруженные правительственными организациями или сторонними организациями, являющимися подрядчиками правительственных организаций, а также обнаруженные и предоставленные частными лицами и компаниями и/или иностранными союзниками правительственным организациям США до начала процесса документирования", — говорится в документе.
В документе существует лазейка: правительству необязательно следовать VEP, если сведения об уязвимости "нулевого дня" покупается под условием контрактных ограничений, такие как, например, соглашения о неразглашении. Таким образом, использование "серых" хакеров позволяет ФБР придержать у себя информацию об уязвимости и использовать ее в дальнейшем.
Причем многие уязвимости не теряют актуальности очень долго. В 2017 г. появилось исследование, опубликованное RAND Corporation, под названием "Zero Days, Thousands of Nights". Для проведения этого анализа эксперты изучили более 200 уязвимостей нулевого дня и эксплоитов для них, собрав данные за последние 14 лет, то есть с 2002 по 2016 гг. В частности, в этот список вошли эксплоиты для платформ Microsoft и Linux, а также атаки, направленные против продуктов Mozilla, Google и Adobe.
Первая и одна из наиболее интересных цифр в отчете - это срок жизни среднестатистической 0-day уязвимости и эксплоитов для нее. Оказалось, что уязвимости нулевого дня в среднем живут 6,9 года, то есть 2521 день. При этом четверть уязвимостей сохраняют статус 0-day всего полтора года, тогда как еще четверть не теряют актуальности даже спустя девять с половиной лет.
