若い頃、ケビン・ミトニックは世界で最も有名なハッカーになりました。 多くの人にとって、彼はロールモデルになりました。 その会社の従業員と結婚することにより通信会社のネットワークに侵入する彼の方法は、一般的にこのジャンルの古典です。
しかし、刑務所を出た後、Kevin Mitnikは「白人」ハッカーに変身しました。彼はペンテストを行い、ITセキュリティ分野の企業に助言し、ソーシャルエンジニアリングに関する本を出版し、講演しました。 しかし、これでは十分ではなく、ケビンはいわばルーツに戻りました。彼は0dayエクスプロイトを販売しています。
Mitnikは、 MitnickのAbsolute Zero Day Exploit Exchangeを悪用する独自の取引プラットフォームをオープンしました。
Mitnikは、エクスプロイトが売りに出されていると書いています。彼は、自分自身とサードパーティの研究者から、10万ドルの価格でそれを見つけました。
一般的に、最近、エクスプロイト取引は非常に普通のビジネスになりました。これを犯罪とみなす人はいません。 個々のハッカーは0day脆弱性を匿名で販売するかもしれませんが、彼らはクリームを取り除くものではありません。 他の企業は非常にオープンに運営されています。
たとえば、フランスの会社Vupenは、exploit報機関と政府のintelligence報機関に数年にわたってエクスプロイトを公然と販売しています。 IEブラウザの0day脆弱性の1つがVupenからNSAに販売されたことは本物です。
このジョークは、Vupenが勝った2012年のPwn2Ownハッカーコンテストで発生しましたが、$ 60Kの報酬の受け取りを拒否し、Chromeをクラックするエクスプロイトを渡しました。 会社の所有者はお金を拒否し、顧客のためにエクスプロイトを保存すると言いました。 IE 6-10のエクスプロイトで2012年に同じことが起こりました。 この製品が闇市場で何の価値があるかはほぼ明らかになりました。
Vupen Securityの公式Webサイトでは、同社が顧客に「攻撃エクスプロイトサービス」を提供していることが示されています。 民間企業や個人のこのような活動は刑法の対象となるため、Vupen Securityの顧客は政府機関、法執行機関、およびintelligence報機関の1つだけです。 理論的には、そのようなエクスプロイトを合法的に使用する権利を持っているのは彼らだけです。 Vupen SecurityのWebサイトでは、顧客は慎重に選択されており、NATO加盟国、ANZUS、ASEANのみが選べるとしています。
Vupenは、世界市場で唯一のエクスプロイトブローカーではありません。 それに加えて、Netragard、Endgame、Northrop Grumman、Raytheonなどの他のいくつかの企業は、独立したハッカーから再販目的でエクスプロイトを購入しています。 しかし、彼らはこれを極秘の雰囲気の中でできる限り慎重に行います。 Vupen社は、大規模にビジネスを行っており、ハッキングコンテストへの参加などのPRを拒否していないという事実に優れています。
いずれにせよ、エクスプロイトと0day脆弱性の取引はようやく影から消え、合法的な業界になったようです。 同じVupenは、販売されたエクスプロイトごとにフランスで税金を支払います。 独自のビジネスを作成する見込みはありませんか?
個々の企業だけでなく、民間の起業家もこのビジネスに従事できます。 主なものは、良好な接続を持つことです。 新しい波の起業家の良い例は、エクスプロイト取引に従事しているGrugqです。
グリュク
彼は古いハッカーの接続を使用し、仲介者として働き、ハッカーからエクスプロイトを購入して政府機関に販売します。 Grugqは15%の手数料を受け取り、1か月でエクスプロイトを25万ドルで販売できることを保証します。
ちなみに、分析会社Frost&Sullivanは、2011年Entrepreneurial Company of the YearコンテストでVupenを1位に受賞しました。つまり、2011年の最も有望なビジネスと呼ばれていました。 言い換えれば、0dayエクスプロイトに対する増え続ける需要を考慮に入れると、企業はエクスプロイトを検索して販売することで多くのお金を稼ぐことができます。