Рынок уязвимостей, это спекулятивный инструмент, который не создаёт новые уязвимости, а лишь перераспределяет информацию о них между теми, кто может их закрыть, и теми, кто хочет их использовать. И та, и другая сторона платит за информацию, но в разное время и при разных условиях. https://seberd.ru/5284
Что скрывается за рынком уязвимостей
Когда говорят о рынке уязвимостей или vulnerability markets, обычно имеют в виду существование официальных платформ для легальной покупки информации о программных ошибках. Это так называемые программы Bug Bounty, запускаемые крупными компаниями вроде Яндекса, VK или Сбера. Исследователь находит баг, отправляет отчёт и получает вознаграждение. Всё прозрачно и законно.
Но реальный, неформальный рынок гораздо шире. Он включает в себя десятки площадок в даркнете и закрытых комьюнити, где сделки проводятся без посредников и правил. В отличие от легальных программ, где покупатель всегда известен — компания-владелец продукта, на подпольном рынке покупатель может быть кем угодно: от конкурента до государства. Здесь цены на уязвимости определяются не столько их технической сложностью, сколько потенциальным ущербом, который можно нанести.
Главное заблуждение — считать, что рынок уязвимостей порождает новые угрозы. Баги существовали и будут существовать независимо от того, есть ли за них денежный спрос. Рынок лишь делает информацию о них товаром, переводя техническую ошибку в экономическую плоскость. Это меняет мотивацию исследователей. Вместо того чтобы сообщать об уязвимости разработчику бесплатно или из чувства ответственности, они начинают искать, где за неё больше заплатят.
Формула цены: от теории к практике
На легальных платформах существует более-менее понятная система оценок. Уровень критичности уязвимости (Critical, High, Medium, Low) определяется по стандартным методикам вроде CVSS (Common Vulnerability Scoring System). Высокий балл CVSS обычно означает более серьёзную угрозу и, как следствие, более высокий bounty. Однако эта связь нелинейна. Уязвимость, позволяющая удалённо выполнить код (RCE) на популярном веб-сервере, может оцениваться в 10-50 тысяч долларов, в то время как аналогичная уязвимость в корпоративном VPN-решении — уже в сотни тысяч. Разница в цене объясняется не техническими параметрами, а стоимостью потенциального ущерба для бизнеса.
На подпольном рынке логика другая. Формула цены здесь строится на трёх столпах:
1. Возможность монетизации. Может ли уязвимость быть использована для прямого заработка? Например, для кражи и продажи данных, установки ransomware или взлома аккаунтов.
2. Время жизни. Как долго уязвимость останется неисправленной после начала её активной эксплуатации? Для популярного ПО с активными разработчиками это могут быть дни или недели. Для устаревшего или нишевого оборудования — годы.
3. Целевая аудитория. Сколько потенциальных жертв можно атаковать с помощью этой уязвимости? Эксплойт для Windows 10 будет стоить дороже, чем для редкой Linux-дистрибутива.
Поэтому цена на неформальном рынке, это всегда договорённость. Продавец пытается доказать покупателю, что его товар уникален и скоро «пропадёт с полок». Покупатель ищет баланс между стоимостью приобретения и ожидаемой прибылью от эксплуатации.
Экономика времени: почему нулевые дни дороже
Ключевой фактор, резко влияющий на цену,, это статус уязвимости относительно её публичности.
0-day (нулевой день): Уязвимость неизвестна разработчику. Информация о ней есть только у её первооткрывателя и, возможно, покупателя. Это самый дорогой и востребованный товар.
N-day (n-ый день):Уязвимость уже известна, для неё выпущено обновление безопасности (патч). Стоимость падает в разы, но не до нуля. Многие системы долгое время не обновляются, поэтому эксплойт для известной уязвимости всё ещё имеет ценность для массовых атак.
Парадокс в том, что момент максимальной стоимости уязвимости, это период до её обнаружения. Как только информация о баге попадает в публичное пространство (например, в список рассылки Full-Disclosure), её рыночная цена для подпольных покупателей начинает стремительно падать. Одновременно растёт её ценность для защитников — сигнатур для систем защиты можно создавать только тогда, когда уязвимость стала известной.
Именно это порождает рынок посредников — так называемых брокеров. Они выступают гарантом анонимности сделки между исследователем и конечным покупателем (часто государственными структурами). Брокер проверяет работоспособность эксплойта, помогает с оформлением сделки и берёт комиссию, которая может достигать 20-30% от суммы. Их существование — косвенный признак того, что спрос на уязвимости стабильно высок, а доверие между сторонами — критически низко.
Кто платит и зачем: спектр покупателей
Покупатели на рынке уязвимостей делятся на несколько категорий, и их цели напрямую влияют на формирование спроса и цен.
Из таблицы видно, что одна и та же уязвимость может быть продана разным покупателям. Исследователь может сначала продать информацию о баге производителю средств защиты, затем — корпорации, желающей защититься, и только потом, когда уязвимость станет известной, её эксплойт могут купить для массовых атак. Это многоступенчатая экономика, где информация со временем девальвируется, но не теряет стоимости полностью.
Российская специфика: между регулятором и импортозамещением
Рынок уязвимостей существует в правовом поле, определяемом 152-ФЗ «О персональных данных» и требованиями ФСТЭК. С одной стороны, легальная покупка информации об уязвимостях не запрещена и даже поощряется для повышения безопасности собственных продуктов. С другой — существуют жёсткие ограничения на распространение инструментов, предназначенных для несанкционированного доступа к информации (ст. 273 УК РФ).
Это создаёт серую зону. Продажа самого описания уязвимости законна. Продажа готового эксплойта, особенно с доказательством работоспособности (Proof of Concept), уже попадает под подозрение. На практике это означает, что основная активность легального рынка сосредоточена в рамках корпоративных bug bounty-программ. Подпольный рынок уходит в глубокую тень, в Telegram-каналы и закрытые форумы, где проверка контрагента становится первостепенной задачей.
Импортозамещение в IT-секторе добавило новый фактор. Спрос на исследование отечественного ПО (российских ОС, СУБД, офисных пакетов) вырос. Найти критическую уязвимость в таком продукте становится всё ценнее, так как многие госструктуры и госкомпании обязаны их использовать. При этом экспертизы в этой области пока меньше, чем в исследовании западного ПО, что делает рынок менее предсказуемым.
Будущее ценообразования: автоматизация и аукционы
Тенденция последних лет — автоматизация оценки уязвимостей. Появляются платформы, которые с помощью алгоритмов пытаются предсказать стоимость бага на основе его CVSS-оценки, популярности атакуемого ПО и других метаданных. Эти системы далеки от совершенства, так как не могут учесть главное — стратегический интерес конкретного покупателя.
Другое направление — развитие аукционных моделей. Вместо фиксированной цены продавец выставляет уязвимость на торги среди ограниченного круга доверенных покупателей. Это позволяет выявить реальную рыночную стоимость, которая может в разы превышать первоначальные ожидания. Такие аукционы — прерогатива крупных брокеров и закрытых клубов.
Однако фундаментальный принцип рынка уязвимостей останется неизменным: цена, это не оценка технического дефекта, а стоимость потенциальных последствий его использования или сокрытия. Пока существует программное обеспечение, в нём будут ошибки. Пока эти ошибки можно превратить в деньги или влияние, будет существовать и рынок, на котором за них торгуются.