Pilkoji saugumo zona: 500 tūkst. dolerių už programėlės nulaužimą ir tai net ne didžiausia suma, kurią iš karto sumoka programišių tarpininkai „Zerodium“ ()
Kibernetinio saugumo rinkoje yra daugybė veikėjų, kurie nori užtikrinti mūsų saugumą (mainais į nedidelį mokestį). Bet toje pačioje rinkoje nestinga ir piktybinių veikėjų, kuriems dėl milžiniško uždarbio perspektyvos į mūsų saugumą nusispjauti. Ir yra „pilkieji“ veikėjai, kurie teisėtai supirkinėja ir pardavinėja kibernetinio saugumo spragas, rašo „Ars Technica“.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
2015 metais iš Vašingtono (JAV) veiklą pradėję programišių tarpininkai „Zerodium“ viešai paskelbė, kad už pilnai veikiančias saugumo spragas, veikiančias prieš interneto bendravimo platformas „Signal“, „WhatsApp“, „iMessage“, „Viber“, „WeChat“ ir „Telegram“ sumokės po pusę milijono JAV dolerių.
Tarpininkai tvirtina, kad tokiu pačiu tarifu apmokės ir už aptiktas, bet viešai neskelbtas saugumo spragas, kurias galima panaudoti prieš standartines išmaniųjų telefonų elektroninio pašto programėles.
Didesne suma „Zerodium“ įvertino tik vieną kibernetinio saugumo spragą – gebėjimą nuotoliniu būdu atlikti „Apple iOS“ įrenginių „nulaužimą“ (angl. jailbreak).
Už ją žadama net 1,5 mln. JAV dolerių. Jeigu tokiam „nulaužimui“ reikia, kad įrenginio vartotojas atliktų tam tikrus veiksmus su telefonu, kaina krenta iki 1 milijono.
„Apskritai vertinant, kainos auga – ir daugeliu atveju labai reikšmingai, be to, labai smarkiai didėja dėmesys mobiliajai įrangai.
Naujosios 500 tūkst. dolerių kainos už pranešimų programėlių nulaužimą rodo, koks dabar yra pagrindinis prioritetas siekiant įsilaužti į konkrečių asmenų įrangą“, – sakė kibernetinio saugumo bendrovės „AppSec Consulting“ konsultantas Adamas Caudillas.
Paprastai tokių įsilaužimų vykdytojai yra valstybinio lygio.
Vienas iš geriausiai žinomų pavyzdžių – išpuolis prieš politinį disidentą, gyvenantį Jungtiniuose Arabų Emiratuose.
Prieš jo „iPhone“ buvo pritaikyta itin sudėtinga ataka, kuri buvo vykdoma pasitelkus tris skirtingas tuo metu neužtaisytas „iPhone“ saugumo spragas, tokiu būdu ne kartą gaunant galimybę „nulaužti“ jo telefoną ir įdiegti į jį piktybinę programinę įrangą, kuri galėtų vogti konfidencialias žinutes iš įvairiausių programėlių – „Gmail“, „Facebook“, „WhatsApp“ ir kitų.
Išpuoliui reikalingą platformą (iš viso kainavusią 8 mln. JAV dolerių ir sujungusią 300 licencijų) sukūrė JAV įmonės „Francisco Partners Management“ Izraelio padalinys „NSO Group“. Vos išaiškėjus, kokiomis spragomis pasinaudota išpuoliams, „Apple“ saugumo spragas užtaisė.
Kibernetinio saugumo bendrovės linkusios kritikuoti „Zerodium“ už tai, kad naudojantis jų superkamomis ir platinamomis saugumo spragomis vėliau galima pakenkti politiniams disidentams, žurnalistams, teisininkams ir kitiems svarbiems, ne visiems įtinkantiems asmenims – o tokios kenksmingos ir dažniausiai teisiškai menkai kontroliuojamos veiklos vykdytojai dažniausiai yra valstybės.
„Zerodium“ kritikams atsako, kad jie saugumo spragas parduoda tik labai ribotam ir gerai patikrintam organizacijų sąrašui – daugiausiai šiame sąraše yra organizacijos iš Europos ir Šiaurės Korėjos. Tačiau perpardavėjai niekada viešai neatskleidė savo klientų sąrašo, tad jų žodžius sunku patikrinti.
Tai, kad auga mobiliųjų programėlių saugumo spragų kaina, rodo, kad didėja tokių spragų naudojimo paklausa. Mat vis daugiau ir daugiau asmenų bendravimui ir žinutėmis, ir elektroniniais laiškais naudoja būtent mobiliuosius įrenginius.
Be to, tokie asmenys, kurie vyriausybinėms organizacijoms gali būti įdomūs kaip šnipinėjimo taikiniai, dažnai naudojasi, anot ekspertų, sunkiau įveikiamomis, saugesnėmis bendravimo platformomis, tokiomis, kaip „Signal“.
Dar viena kainų augimo priežastis – kibernetinio saugumo programėlių, pastaraisiais metais vis labiau apsunkinančių programišių darbą, nuolatinis kūrimas.
„Zerodium“ programišiams siūlo kur kas didesnes sumas, nei taikiniu tapusios programinės įrangos gamintojai, norintys užkamšyti savo produkcijos spragas.
Tačiau tam yra aiški priežastis: jeigu gamintojams pakanka, kad programišius parodytų savo atradimo veikimo principą, tai saugumo spragų perpardavėjai reikalauja, kad jiems būtų pateikta pilnai išpuoliams naudoti paruošta programinė įranga.
O paprasti vartotojai pagal „Zerodium“ kainyną gali spręsti, kiek saugi yra jų naudojama programinė įranga (kuo saugumo spragos kaina didesnė, tuo ją atrasti sunkiau ir/arba jos paklausa didesnė).
Tuo tarpu jeigu „nulaužimo“ kaina sumažinta arba apskritai išbraukta iš kainyno (pvz. – nuotolinis komandų paleidimas per „Internet Explorer“), galima daryti išvadą, kad arba tokių saugumo spragų perpardavėjai prikaupę daugiau nei reikia, arba jokie programišius sudominti galintys asmenys šia naršykle nebesinaudoja.
Pilną „Zerodium“ superkamų saugumo spragų kainyną rasite šioje svetainėje.