Dziura za 250 000 dolarów
Dziury typu zero-day stały się bardzo poszukiwanym towarem. Osiągnęły one takie ceny, że kwoty oferowane przez producentów oprogramowania zupełnie nie odpowiadają ich rzeczywistej wartości.
Google płaci 3177,70 USD za luki w Chrome. Z kolei założone przez HP Zero Day Initiative oferuje nawet 10 000 dolarów za wyjątkowo groźne dziury. To jednak śmiesznie małe pieniądze, w porównaniu z tymi, które oferuje mieszkający w Bangkoku haker o pseudonimie Grugq. Osoby, które znają jego lub podobnych mu pośredników, mogą liczyć na bardzo duży zarobek od klientów Grugqa. Mężczyzna jest tylko pośrednikiem, przekazującym pieniądze pomiędzy odkrywcą dziury, a kupcem. Sam zatrzymuje dla siebie prowizję w wysokości 15%. I nieźle na tym zarabia.
Najwyżej wyceniane są dziury w iOS. Ostatnio Grugq uczestniczył w transakcji o wartości 250 000 dolarów. Myślę, że cena była zbyt niska. Klient był aż za bardzo zadowolony - mówi Grugq reporterom Forbesa.
Z podanych przez niego informacji wynika, że najniższą cenę, od 5 do 30 tysięcy USD, osiągają luki w Adobe Readerze. Wyżej wyceniane są dziury w Mac OS X (20-50 tysięcy USD), a następnie w Androidzie (30-60 tysięcy dolarów). Za luki we wtyczkach Flash i Java dla przeglądarek można otrzymać 40-100 tysięcy USD. Dziury w Wordzie kosztują 50-100 tysięcy, a w Windows 60-120 tysięcy dolarów. Drożej można sprzedać luki w Firefoksie i Safari (60-150 tysięcy) oraz IE i Chrome (80-200 tysięcy). Wszelkie rekordy biją dziury w iOS, osiągające cenę od 100 do 250 tysięcy dolarów.
Najwyższe ceny osiąga się za najbardziej niebezpieczne dziury, występujące w najnowszych wersjach oprogramowania, przy sprzedaży ich na wyłączność oraz bez informowania producenta oprogramowania o luce.
O cenie dziury decyduje też popularność oprogramowania oraz łatwość przeprowadzenia ataku. Z jednej więc strony dziury dla Mac OS X są tańsze od dziur dla Windows, gdyż system Apple’a jest znacznie mniej popularny, z drugiej luki na iOS-a są wyceniane wyżej niż na Androida, ponieważ iOS-a znacznie trudniej jest złamać.
Grugq zdradził też, kto kupuje dziury. Mówi, że jego głównymi klientami są... zachodnie rządy, przede wszystkim rząd USA. Robi tak nie tylko z przyczyn etycznych, ale również finansowych. Sprzedaż dziury rosyjskiej mafii oznacza, że bardzo szybko zostanie ona odkryta. Oni płaca niewiele - mówi Grugq, dodając, że nie ma kontaktów z rosyjskim rządem. Rosja jest przesiąknięta kryminalistami. Wykorzystują dziury w najbardziej prosty i brutalny sposób, ponadto oszukują się nawzajem - dodaje.
Mężczyzna nie sprzedaje też dziur Chińczykom, gdyż rząd w Pekinie ma wielu hakerów, którzy bardzo tanio sprzedają mu informacje o lukach. Z kolei na Bliskim Wschodzie i w innych regionach Azji nie ma nikogo, kto zapłaciłby tyle, co zachodnie rządy. Aż 80% transakcji dokonuje z rządem USA, chociaż niektórzy z pracujących dlań ludzi zastrzegają, że dziury można sprzedać tylko rządom państw europejskich. Grugq zdradza, że działa na hakerskiej scenie od ponad 10 lat i spotkał przedstawicieli wielu różnych amerykańskich agend rządowych. Wie, jakie mają wymagania i czego oczekują od kupowanego towaru. „Po prostu sprzedaję komercyjne oprogramowanie. Musi być dobrze napisane, musi być załączona dokumentacja. Jedyna różnica między mną a sprzedawcami innego komercyjnego oprogramowania jest taka, że ja sprzedaję tylko jedną licencję i wszyscy mówią, że jestem zły“.
Ostrym krytykiem takich praktyk jest Chris Soghoian z Open Society Foundations, który twierdzi, że ludzie tacy jak Grugq to „współcześni handlarze śmiercią“. Gdy jedna z tych dziur, sprzedana rządowi, trafi do rąk cyberprzestępców, którzy uderzą w krytyczną infrastrukturę USA, gówno rozpryśnie się na wentylatorze - mówi.
Jego zdaniem specjaliści ds. bezpieczeństwa nie powinni współpracować z takimi pośrednikami.
Grugq odpowiada: Chińczycy szpiegują na masową skalę. Soghoian chce zakazać sprzedaży oprogramowania - o, przepraszam - dziur, amerykańskim i europejskim sojusznikom? Jedynym efektem takiego postępowania będzie zwiększenie się przewagi Chin, a Zachód pozostanie w tyle.
Rynek dziur rozwija się bardzo dynamicznie i działa na nim wiele firm. Większość kupujących wykorzystuje luki w celu szpiegowania innych. Ostatnio jednak firma Netragard sprzedała za 125 000 dolarów informację o dziurze pewnemu przedsiębiorstwu, które chce jej użyć podczas działań marketingowych.
Adriel Desautels z Netregard zdradził, że jeszcze kilka lat temu do jego firmy zgłaszało się miesięcznie 4-6 odkrywców dziur typu zero-day. Teraz w każdym miesiącu otrzymuje 12-14 ofert pośrednictwa w sprzedaży luk.
Komentarze (2)
tracek, 29 marca 2012, 11:04
Jak gówno rozpryśnie się na wentylatorze, to Bob zostanie Twoim wujem .
Mariusz Błoński, 29 marca 2012, 12:47
Wiem, wiem.. celowo zrobiłem z tego dosłowną wypowiedź, bo sądzę, że Soghoianowi chodziło o bardzo dosadne określenie, a nie coś w rodzaju "i cała sprawa się wyda", "i utracimy nad tym kontrolę".