Серйозні покупці інформації про вразливості нульового дня, як-от АНБ, не обмежуються разовими купівлями за потреби. Вони створюють резерви для майбутніх атак.

За словами колишнього високопосадовця, який отримав цю інформацію під час секретної наради з керівниками АНБ, тільки для потенційного вживання проти китайських електронних систем агентство накопичило інформацію про понад дві тисячі вразливостей нульового дня. Це приголомшливо величезна кількість експлойтів. Комп’ю­терний «хробак» Stuxnet, створений спільними зусиллями США й Ізраїлю для боротьби з іранською програмою ядерного озброєння, містив чотири експлойти нульового дня, а це зовсім небагато для однієї атаки. Колекція з 2 тисяч експлойтів нульового дня – це кібернетичний аналог ядерного арсеналу.

Цей арсенал піддає загрозі людей цілого світу. Якщо АНБ накопичує інформацію про вразливості, замість того щоб повідомляти виробників високотехнологічної продукції про вади в їхньому апаратному та програмному забезпеченні, то, ймовірно, агентство приховує цінну інформацію, яку можна використати для захисту від зловмисних хакерів. Звісно, АНБ використовує накопичені знання щодо експлойтів нульового дня, щоб залатати дірки у технічних засобах, які воно застосовує або може застосувати для військової чи розвідувальної діяльності. Але агентство не попереджає про них решту світу, адже тоді експлойти нульового дня втратять свою ефективність. Якщо АНБ повідомить технологічні компанії про вразливості їхніх продуктів, відповідні агентства в Китаї або Ірані зможуть підготуватися до відбиття атак.

Але на тіньовому ринку вразливостей нульового дня ніхто не дає гарантій ексклюзивного доступу до інформації. Один сумнівний продавець, французька компанія Vupen, продає інформацію про ті самі вразливості та експлойти багатьом клієнтам, серед яких державні органи різних країн. АНБ також є клієнтом компанії Vupen – загальнодоступні документи свідчать, що агентство купує інформацію про вразливості нульового дня за підпискою, яка передбачає здобуття інформації про певну кількість вразливостей згідно з договором. (Озброєне цією інформацією, АНБ може створювати власні експлойти.) Компанія Vupen також має каталог складних, готових до реалізації атак нульового дня, які коштують значно дорожче за інформацію, надану підписникам.

АНБ знає, що Vupen не завжди укладає ексклюзивні угоди, тому агентству доводиться купувати щораз більше інформації про вразливості нульового дня, усвідомлюючи, що принаймні якийсь відсоток із них стане непридатним для атак, якщо інша держава, приватна компанія або кримінальне угруповання скористаються ними.

Критики звинувачують компанію Vupen у «гонці кіберозброєння» –підбурюванні державних розвідслужб і збройних сил різних країн одне проти одного. Клієнти компанії знають: якщо знехтують можливістю придбати нову інформацію про вразливість, компанія обов’язково знайде іншого покупця. Вразливості, інформацією про які володіє Vupen, не унікальні для якоїсь однієї країни. Чимало з них виявлені у популярних технологічних продуктах, використовуваних у всьому світі. Отже, держави мають стимул купувати якнайбільше інформації про вразливості нульового дня і для самозахисту, і для атак на своїх противників.

Представники компанії Vupen стверджують, що лише продають інформацію «надійним організаціям», під якими мають на увазі «підприємства зі сфери безпеки, що займаються захистом», державні організації у «схвалених країнах» і «всесвітні корпорації», серед яких компанії з першої тисячі рейтингу журналу Fortune. Це довгий перелік потенційних клієнтів, і компанія визнає, що не в змозі засвідчити надійність кожного з них і гарантувати, що клієнти, які купують за підпискою або каталогом, не передадуть інформацію людям, яким компанія ніколи не продасть її безпосередньо. Керівники непереконливо пояснюють, що існує внутрішня процедура перевірки клієнта, щоб незалежні хакери та посередники не отримали небезпечні продукти й інформацію, продану державним структурам. Особливе занепокоєння викликають країни Північної Африки і Близького Сходу з репресивним режимом правління, влада яких, намагаючись здолати опір борців за демократію, залучає хакерів для впровадження шкідливого ПЗ в комп’ютери протестувальників. Ці шкідливі програми купують у таких компаній, як Vupen, представники яких стверджують, що ніколи не продають власних продуктів для таких негідних цілей. Однак ці продукти повсякчас виявляють на комп’ютерах і в мобільних телефонах активістів, деякі з яких зазнали переслідувань або насильства від влади та інших переслідувачів.