Компания NSS Labs опубликовала отчет «The Known Uknowns», в котором анализируется динамика роста рынка эксплоитов для уязвимостей нулевого дня. По словам экспертов, эти бреши являются главным компонентом для создания кибероружия, которым пользуется правительство. Тем не менее, уязвимости нулевого дня зачастую продаются на черном рынке, который стремительно растет.

Эксперты подсчитали, что количество эксплоитов, проданных за один день на черном рынке, достигает 85. Поисками уязвимостей нулевого дня заняты независимые хакеры, однако в большинстве случаев этим занимаются целые фирмы, специализирующиеся на вопросах безопасности. Они анализируют каждое ПО на предмет наличия бреши, позволяющей осуществлять атаки, а затем продают эту информацию. При этом их не интересует, кто окажется покупателем — будь то крупная компания, которая намерена осуществить атаку на своего конкурента, или же иностранное правительство.

Исследователи из NSS Labs обнаружили, что в течение трех последних лет привилегированные группы ежедневно получали доступ к 58 уязвимостям в продуктах Microsoft, Apple, Oracle и Adobe. Более того, эти бреши оставались неизвестными широкой общественности в течение 151 дня. Стоимость эксплоитов для уязвимостей в ОС Windows на черном рынке достигает $250 тыс. Для того, чтобы получить максимальную прибыль, злоумышленники продают их вражеским государствам, которые затем используют эти бреши для осуществления атак на другие страны.

Уязвимости в ПО могут быть проданы на черном рынке, но также за них можно получить вознаграждение от технологических компаний. Так, Google, Microsoft, Facebook и Mozilla учредили специальные программы вознаграждения за обнаруженные бреши. За три года Google в общей сложности заплатила $580 тыс. за 501 уязвимость в браузере Chrome, а Mozilla – $570 тыс. за 190 брешей в браузере Firefox. С 2011 года Facebook выплатил около $1 млн, а Microsoft, начавшая программу поощрения с июня 2013 года, — $100 тыс.