„Míg a hackerek korábban a nagy számítógépes cégeknek kínálták volna fel akár ingyen is a szoftvereikben talált hibákat, napjainkra a szoftverhibák árusítása jövedelmező üzletté vált: a nagy számítógépes cégek mellett kormányok is vevők a „bugokra” – írta hétfőn a The New York Times.
Dél-Afrikától Dél-Koreáig virágzik a hackerek által csak „nulladik napi támadásnak” nevezett forráskódbeli hibákkal való kereskedés. A „nulladik napi támadás” egy olyan biztonsági fenyegetés, amely egy számítógépes alkalmazás olyan sebezhetőségét használja ki, amely még nem vált nyilvánossá, a szoftver fejlesztője nem tud róla, vagy nem érhető még el rá a biztonsági javítás.
A Microsoft a múlt hónapban jelentősen megemelte az ilyen szoftverhibákért fizetett ellenszolgáltatást: a legmagasabb ajánlat eléri a 150 ezer dollárt (33,57 millió forintot).
Az üzlet értékét tovább növelik azok az országok, amelyek saját céljaik elérésére vásárolnak szoftverhibákat. Három évvel ezelőtt az Egyesült Államoknak és Izraelnek sikerült a Stuxnet féregvírus segítségével megtámadnia az iráni urándúsító programot.
A kormányok egyre inkább azt vallják, hogy az ország hatékonyabb védelme érdekében meg kell találni a más országokban meglévő sérülékeny pontokat” – mutatott rá Howard Schmidt fehér házi számítógépes biztonsági koordinátor. „A gond az, hogy alapjában mindnyájunk biztonsága egyre csökken”.
A szoftverhibák felfedezésének átlagos ideje majdnem egy év – 312 nap – a vírusirtók gyártására szakosodott Symantec cég szerint. Ennyi idejük van a bűnözőknek, hogy lopásra, illetve a kormányoknak, hogy kémkedésre használják fel őket.
Tíz évvel ezelőtt a hackerek még egy céges pólóért vagy az érintett vállalat honlapján való szereplésért ingyen felajánlották volna az ilyen hibákat a Microsoftnak vagy a Google-nak. Kínában az úgynevezett hazafias hackerek ma is rendszeresen adnak át információkat a kormánynak.
Mostanra a számítógépek sérülékenységével kapcsolatos adatok valóságos aranybányává váltak. Edward Snowden, az amerikai Nemzetbiztonsági Ügynökség (NSA) volt szerződéses munkatársa kiszivárogtatása révén egyértelmű vált, hogy az Egyesült Államok is a programhibák vásárlói között van. A legnagyobb vásárlók között van még Izrael, Nagy-Britannia, Oroszország, India és Brazília. A piacon van Észak-Korea és több közel-keleti titkosszolgálat is. Malaysia és Szingapúr szintén vásárol ilyen szoftverhibákat a washingtoni Stratégiai és Nemzetközi Tanulmányok Központja (CSIS) szerint.
Az eladók és vásárlók egymásra találását brókerek segítik, akiket a vételár 15 százaléka illet. Vannak olyan brókerek is, akiket havi átalányban fizetnek a felfedezett hibákért.
Egyes cégek – akár a montpellier-i Vupen, a massachusettsi Netragard in Acton, az austini Mass Exodus Intelligence és a máltai ReVuln – nyíltan hirdetik tevékenységüket.
Egy virginiai start-up cég, az Endgame, amelyben az NSA egyik egykori igazgatója is fontos szerepet játszik, kevésbé nyíltan taglalja a szolgáltatásait. Számos olyan eszközt dolgozott azonban ki, amelyeket elsődlegesen az Egyesült Államok kormányzata részére értékesít, és amelyekkel az internetes kémkedéssel és támadásokkal szemben lehet fellépni.
Egyetlen cég sem árulja el az ügyfelei nevét. Adriel Desautels, a Netragard alapítója azonban annyit elárult, hogy az ügyfeleik „kizárólag amerikaiak”, és a Netragard nulladik napi támadások portfóliója az elmúlt három évben megkétszereződött. Egy átlagos szoftverhiba ára jelenleg 35 ezer és 160 ezer dollár között mozog (7,8-35,8 millió forint).
Chaouki Bekrar, a Vupen alapítója elmondta, hogy a cége nem értékesít olyan vevőknek, akik az Európai Unió, az Egyesült Államok és az ENSZ tilalmi listáján szerepelnek. Mint mondta, az igény növekedésével a bevételük évente megduplázódik. A Vupen a konkrét ügyletek díján kívül évi 100 ezer dollár (22,4 millió forint) éves előfizetési díjat számláz ügyfeleinek azért, hogy a katalógusukba betekinthessenek. A ReVuln ipari ellenőrzési rendszerek – szennyvízkezelők, olaj- és gázvezetéket, valamint erőművek szoftverhibáira szakosodott.
A nagy számítógépes cégek is programot indítottak, amely keretében fizetnek a hibáikat feltáró hackereknek. Tíz évvel ezelőtt a Mozilla Foundation indította az első ilyen programot, a Firefox böngésző hibáiért fizetve. Azóta a Google, a Facebook és a PayPal is követte a példát.
A Google 2010-ben kezdte el „díjazni” a hackereket – 3 133,70 dolláros legnagyobb összeggel – a Chrome böngésző hibáiért, tavaly már akár 20 ezer dollárt is fizetett a súlyosabb hibákért. A programot sokáig ellenző Microsoft a múlt hónapban jelentette be, hogy akár 150 ezer dollárt is fizet egy hibáért, a védekezési megoldással együtt.”
Forrás:
New York Times: kormányok vásárolnak szoftverhibákat hackerektől; HVG.hu/MTI; 2013. július 15.
Nations Buying as Hackers Sell Flaws in Computer Code; Nicole Perlroth, David E. Sanger; New York Times; 2013. július 13.