Kiek 2013 metais kainuoja Zero-Day programos leidžiančios įsilaužti į kompiuterį ar telefoną
Išmaniam programišiui dabar tenka priimti sunkius sprendimus: rasti iki šiol nežinomas programinės įrangos saugumo spragas suteikiančias galimybę įsibrauti į kompiuterį ar telefoną ir iš to turėti finansinės naudos.
Radus anksčiau nežinomą būdą įsilaužti, tarkim, į iPhone ar iPad galima pranešti Apple ir pristatyti tą būdą saugumo konferencijoje pelnant laurus ir šlovę. Kai kurios kompanijos rengia specialius konkursus programišiams ir suteikia galimybę laimėti piniginius prizus pademonstravus Zero-Day[1] saugumo spragą jų įrangoje. Pavyzdžiui, už tokios klaidos pademonstravimą, HP Zero Day organizuotame renginyje galima uždirbti 10 000 JAV dolerių. Viena pagrindinių tokių konkursų sąlygų yra ta, kad pademonstravus programinės įrangos pažeidžiamumą reikia, su tos programinės įrangos kūrėja, pasidalinti tos saugumo spragos detalėmis ir panaudojimo būdu, kad kompanija galėtų tą „skylę“ užlopyti.
Tačiau ne visi programišiai yra linkę dalintis savo žinomomis saugumo spragomis su kompanijomis.
Šių metų pradžioje, Google surengtame Chrome Web saugumo konkurse, programišiai ją „nulaužė“ du kartus. Abiem atvejais buvo panaudota speciali internetinė svetainė, kurioje esančio kodo pagalba, buvo galima apeiti Chrome apsaugas ir pilnai įsilaužti į vartotojo kompiuterį. Ir nors abudu programišiai suteikė Google galimybę tą spragą užlopyti - buvo ir trečias, kuris neišdavė savo paslapties Google. Prancūzų saugumo ekspertų kompanija Vupen, vietoje to, kad dalyvautų Google surengtame saugumo konkurse ir išloštų 60 000 JAV dolerių, pasirinko kitą - HP surengtą konkursą, su daug mažesniu priziniu fondu ir pareiškė, kad Vupen nesiruošia Google atskleisti jų žinomos Chrome saugumo spragos, o jei ir sutiktų tai padaryti, tai tikrai ne už 60 000 JAV dolerių.
„Mes šia informacija su Google nepasidalintumėme net ir už 1 milijoną JAV dolerių“, sakė Bekrar’as iš Vupen. „Mes nenorime, kad jie žinotų apie šią ar kitas mums žinomas spragas ir jas užlopytų. Informaciją apie šias spragas mes laikome savo klientams“.
Kiekvienas žinantis Bankoke gyvenantį „saugumo ekspertą“ pravarde „Grugq“ arba kitą panašų į jį - žino ir apie tai, kad jie nenori dalintis žinomomis saugumo spragomis, nes tai verslas. Tokie programišiai, per po pseudonimais pasislėpusius brokerius, pardavinėja saugumo spragas.
„Neuždavinėk nereikalingų klausimų ir gauk ketvirtį milijono dolerių - 15 procentų Grugq komisinių“ - tokia šio, savo šešėlinį verslą pradėjusio prieš metus, programišiaus kaina už iOS saugumo spragas.
Nors šešiaženklė JAV doleriais įvertinta suma už vieną saugumo spragą skamba ekstravagantiškai, tačiau Grugq nėra unikalus savo kainodaroje. Zero-Day saugumo spragų kainos rinkoje yra:
Aplikacija/OS | Kaina JAV $ |
---|---|
Adobe Reader | 5 000–30 000 $ |
Mac OS X | 20 000 - 50 000 $ |
Android | 30 000 - 60 000 $ |
Flash ar Java naršyklės įskiepis | 40 000 - 100 000 $ |
Microsoft Word | 50 000 - 100 000 $ |
Windows | 60 000 - 120 000 $ |
Firefox ar Safari | 60 000 - 150 000 $ |
Chrome ar IE | 80 000 - 200 000 $ |
iOS | 100 000 - 250 000 $ |
Kiekvienas toks sandoris yra išskirtinis: „laužimas“ turi veikti su naujausia programinės įrangos versija ir apie saugumo spragą neturi būti informuotas programinės įrangos gamintojas. Kai kurie sandoriai panašūs į prenumeratą: programinės įrangos kūrėjui išleidus atnaujinimą, kuriame ta saugumo spraga nėra ištaisyta - mokama vėl. Kai kuriais atvejais norint pasinaudoti saugumo spraga tenka naudoti ją kartu su kita.
Kenkėjiško kodo leidžiančio pasinaudoti programinės įrangos saugumo spraga kaina priklauso nuo programos/aplikacijos ar operacinės sistemos populiarumo, to kas ir kam ją naudoja bei sudėtingumo tuo kodu pasinaudoti (pvz. ar reikalingas fizinis priėjimas prie kompiuterio, į kurį norima įsibrauti, ar nereikalingas).
Technologijos leidžiančios pasinaudoti OS X saugumo spragomis, lyginant su Windows, kainuoja mažiau nes Mac kompiuteriams skirtos operacinės sistemos vartotojų skaičius ir, atitinkamai, auditorija į kurios kompiuterius galima įsilaužti yra mažesnė. Tačiau, lyginant su Android - iOS saugumo spragų panaudojimas kainuoja kelis kartus, nes jo panaudojimas reikalauja apeiti Apple aplikacijų patikrą, kas Google Android atveju visiškai nėra kliūtis ir kiekvienas gali patalpinti aplikaciją turinčia kenkėjišką kodą į Google Play aplikacijų parduotuvę bei, kaip taisyklė, dauguma žmonių, už į kurių įrenginius įsibrovimą mokami tokie pinigai, naudoja iOS pagrindu veikiančius įrenginius.
Kas yra tų spragų pirkėjai? Grugq teigimu, pagrindiniai klientai yra vyriausybės ir didžiąja dalimi JAV vyriausybinės organizacijos (80 procentų Grugq gautų pajamų yra gaunamos iš JAV vyriausybės). Iš Pietų Afrikos kilęs Grugq savo klientų ratą apriboja tik Amerikos ir Europos užsakovais ir tai ne dėl etinių sumetimų - šių šalių užsakovai moka daugiau. Programišius taip pat sako nepardavinėjantis spragų nei Rusijai nei Rusijos mafijai, nes „jie nemoka daug pinigų ir sudarius su jais sandorį reikštų mirties nuosprendį jam pačiam. Rusijoje pilna programišių, kurie naudoja saugumo spragas pačiais šlykščiausiais būdais ir tarpusavyje vieni kitus apgaudinėja. Kinijoje taip pat apstu programišių, kurie nori savo atrastas saugumo spragas parduoti Kinijos vyriausybei ir „numušinėja“ kainas, o likusi dalis Rytai ir Azijos šalys neišgali sumokėti tiek kiek moka vakariečiai“.
Per daugiau kaip dešimtmetį trunkančia savo „hakerio“ karjerą Grugq matė daug federalinių agentų ir su juo susisiekė visa eilė JAV agentūrų ir jis žino kaip parduoti tokius produktus.
Iš principo, parduodamas aplikaciją, kuri suteikia galimybę pasinaudoti kitos programinės įrangos saugumo spraga - parduodi komercinį produktą, kuris turi būti nušlifuotas ir turėti išsamią dokumentaciją. Vienintelis skirtumas yra tas, kad tu parduodi vienintelę licenciją ir visi tave vadina blogiuku“, - sako Grugq.
„Vos tik koks nors Zero-Day ginklas atsiduria ‘blogiukų’ rankose ir pradedama kritinė JAV vyriausybės ataka - šūdai pradeda dribti iš visų pusių“, - Kaspersky analitikų suvažiavime sakė privatumo aktyvistas Chris Soghoian, vadinantis Zero-Day pagrindu veikiančių aplikacijų prekybą „karine pramone pardavinėjančia kibernetines kulkas“.
Ne visi tokių spragų pirkėjai yra vyriausybinės organizacijos ar ne kiekvienas ją įsigijęs ruošiasi naudoti šnipinėjimo tikslais. Grugq sakė, kad vieną tokią naršyklės saugumo spragą už 125 000 JAV dolerių iš jo yra įsigijusi komercinė kompanija, kuri ruošiasi ją naudoti marketingo tikslais. Kartais tokias spragas įsigyja patys programų gamintojai, tokie kaip Mozila ar Facebook. Google, paprastai, maksimali siūloma suma už tokią saugumo spragą yra 3 133 JAV doleriai, kas elitinių programišių pasaulyje vadinama pinigais ledų porcijai. „Jei jie nori savo klaidas ištaisyti - jie turi pirkti jas rinkos kainomis, kaip ir bet kas kitas“, - sako Grugq, „jie turi mano elektroninio pašto adresą“.
Norinčių patyrinėti ką kitas saugo savo kompiuteryje yra nemažai ir turint galimybę fiziškai prieiti prie kompiuterio bei žinant kaip tai padaryti, tą informaciją gauti nėra labai sudėtinga. Susidomėjimą tokiomis galimybėmis, kaip sužinoti slaptažodį ir panašiai matau ir iš kai kurių Mac Arena straipsnių lankomumo bei kokie raktažodžiai atveda prie to straipsnio. Pavyzdžiui straipsnis „Kaip sužinoti Interneto svetainės slaptažodį“ per nepilną pusmetį jau aplankytas daugiau nei 29 000 kartų. Nuo lankokumo stokos nekenčia ir kiti panašaus turinio straipsniai. tačiau norint iš tiesų turėti galimybę pasirausti „po kitų skalbinius“ reikia turėti ir nemenkas finansines galimybes tai padaryti.
Jei domitės šia tema, taip pat skaitykite: „Didžiausi kibernetiniai nusikaltimai padaryti tarp 2006 metų ir 2013 metų birželio mėnesio“
-
Zero-Day - arba 0day (nulinė diena) terminu apibrėžiamas piktybiškas kodas arba programinės įrangos saugumo spraga, prieš kurią dar nėra sukurta apsaugos priemonių. Tai reiškia, kad kodą arba programinės įrangos klaidą galima panaudoti prieš vartotojus naudojančius darbines programinės įrangos kopijas (nesvarbu ar tai tam tikra programa/aplikacija ar operacinė sistema) ir nuo šio tipo atakos dar nėra sukurta apsauga. ↩