Продавец эксплойтов Vupen взломал четыре программы на Pwn2Own 2014

Вчера в Ванкувере (Канада) стартовал хакерский конкурс Pwn2Own, на котором лучшие взломщики со всего мира соревнуются в применении эксплойтов для взлома популярных программ. Как и в прошлом году, Pwn2Own стал рекламной площадкой для французской компании Vupen, которая занимается торговлей эксплойтами в странах НАТО. Vupen очень избирательно выбирает клиентов и не продает эксплойты государствам с диктаторским режимом.

Директор компании Чауки Бекрар (Chaouki Bekrar) четыре раза поднимался на сцену как представитель команды-победителя в разных категориях конкурса. Vupen показала эффективные эксплойты «нулевого дня» для Mozilla Firefox, Adobe Flash, Microsoft Internet Explorer и Adobe Reader. Более того, она также показала эксплойт для Oracle Java, но потом отказалась предоставить исходный код и отозвала его (вероятно, для одного из своих клиентов).

В первый день конкурса за четыре предоставленных эксплойта Vupen получила призовых на сумму $300 тыс. Конечно, это не так много, как может заплатить АНБ или другие заказчики, но тоже вполне достойная сумма. Тем более, что эти эксплойты, вероятно, уже были проданы и использованы по назначению, так что награда на конкурсе Pwn2Own — это дополнительный бонус к уже полученным «призовым».

«Я думаю, что наш бизнес уже стал нормальным делом, — сказал Чауки Бекрар. — Сегодня многие компании, большинство из них американские, осуществляют такие же исследования, как Vupen, и продают эксплойты правительственным агентствам. Это стало стандартной практикой и здесь нет ничего удивительного». Он также добавил, что ни один эксплойт Vupen не был обнаружен в деле, поскольку все они используются исключительно в узконаправленных операциях для обеспечения национальной безопасности.