Kiek uždirba programišiai

Kad programišiai gali uždirbti nemažus pinigus žino daugelis, tačiau kokie yra kainų standartai?

Kompanija „Zerodium“ už nepririštą „iOS 9.1“ ir 9.2 beta jailbreak’ą neseniai sumokėjusi programišiams 3 milijonus JAV dolerių, paskelbė bazines kainas siūlomas programišiams už įsilaužimus į įvairias operacines sistemas, interneto svetaines ar jų valdymo įrankius.

Bazinių kainų kainyne brangiausiai mokama už „zero-day“[1] tipo Apple iOS sistemos saugumo spragų išnaudojimus leidžiančius nuotoliniu būdu vykdyti komandas, teisių perėmimą ir t.t. Kainos už aptiktas tokias saugumo spragas prasideda nuo 500 000 USD. Laipteliu žemiau, prie 100 000 USD kainos išsirikiavusios kitos dvi mobiliems įrenginiams skirtos operacinės sistemos: „Android“ ir „Windows Phone“.

Skylės populiariose naršyklėse, tokiose kaip „Chrome“, „Internet Explorer“, „Edge“, „Firefox“, „Safari“ it „Tor“ bei kompiuterių operacinėse sistemose („Windows“, „OS X“ ir „Linux“) vertinamos 50 000 USD, tačiau kartais, priklausomai nuo įsilaužimo būdo programišius gali gauti ir 80 000 USD.

Už saugumo spragų aptikimą antivirusinėse aplikacijose, pašto serveriuose, „OpenSSL“ standarte ir PHP kompanija pasiryžusi sumokėti 40 000 USD, o už „Adobe Flash Player“ ir „PDF Reader“ skyles „Zerodium“ nepagailės ir 80 000 USD.

Pigiausiai mokama už įsilaužimus į interneto svetaines ir forumus, kurių varikliukai yra „WordPress“, „Joomla“, „Drupal“, „phpBB“ ir „vBulletin“. Už saugumo spragų aptikimus šiuose web varikliukuose mokama apie 5 000 USD, išskirtiniais atvejais kaina gali siekti 10 000 USD.

Suprantama, kad „Zerodium“ nekolekcionuoja sistemų pažeidžiamumų ir nelaiko jų užrakinusi seifuose - ji juos parduoda. Iš programišių, dar kartais save pristatančių kaip kompiuterinių sistemų saugumo ekspertai, supirktas saugumo spragas kompanija monetizuoja bent trimis būdais:

1. mokama prenumerata: kompanija programinės įrangos kūrėjams siūlo informacijos, apie jos kuriamos programinės įrangos pažeidžiamumus, prenumeratą
2. už papildomą mokestį programinės įrangos gamintojas gali įsigyti detaliai dokumentuotą informaciją apie konkretų pažeidžiamumą ar pažeidžiamumus jo kuriamoje programinėje įrangoje.
3. kompanija tą pačią informaciją su detalia dokumentacija bei efektyvių įsilaužimo būdų panaudojant konkrečią tam tikros sistemos saugumo spragą parduoda trečioms šalims, tame tarpe ir vyriausybinėms organizacijoms. Tokiu būdu vertinga informacija, kuri kelia grėsmę vartotojų duomenų saugumui, gali patekti į bet kieno rankas, pavyzdžiui programišių ar spec. tarnybų. Tai, ką pirkėjas darys su gauta informacija „Zerodium“ visiškai nedomina.

Yra didelė tikimybė, kad „Zerodium“ turi ir daugiau saugumo spragų ir joms apeiti skirtų instrukcijų pardavimo schemų. Viena iš aukščiau nepaminėtų tačiau populiarių „0-day“ spragų platinimo schemų yra spragos pardavimas ir vėliau, kai programinės įrangos kūrėjas išleidžia savo kūrinio atnaujinimą, jei tos aplikacijos ar sistemos spraga yra nepašalinta ir suteikta informacija galima naudotis toliau - to spragos pirkėjas sumoka „Zerodium“ sutartą kainą. Tokiu būdu pirkėjas apsisaugo, kad pardavėjas stengtųsi saugumo spragą kiek įmanoma ilgiau išlaikyti paslaptyje nuo programinės įrangos savininko, o pirkėjas, atitinkamai, ilgiau naudotis jam suteiktais įrankiais.

Bet kuriuo atveju, „0-day“ saugumo spragas parduodančios kompanijos ar individai, kaip ir tas spragas aptikę „saugumo ekspertai“ iš bado nemiršta.