SG.hu
Annyira biztonságosak a mobiltelefonok, hogy már dollármilliókba kerül egy 0. napi sebezhetőség
Emelkedik a nulladik napi exploitok ára, mert a vállalatok egyre komolyabban veszik a hackerek elleni védelmet. Egy startup most már dollármilliókat kínál az iPhone-ok, az androidos eszközök, a WhatsApp és az iMessage feltörésére alkalmas hibákért.
Ma már dollármilliókat érnek azok a programok, amelyek lehetővé teszik a kormányzati hackerek számára, hogy betörjenek az iPhone-okba és az androidos telefonokba, az olyan népszerű szoftverekbe, mint a Chrome és a Safari böngészők, valamint az olyan csevegőalkalmazásokba, mint a WhatsApp és az iMessage. És az áruk az elmúlt években megsokszorozódott, mivel ezeket a termékeket egyre nehezebb feltörni.
A Crowdfense startup cég közzétette frissített "nulladik napi" hibákat tartalmazó árlistáját - ezek a szoftverek olyan, még nem javított sebezhetőségei, amelyekről a fejlesztők nem tudnak. A Crowdfense-hoz és egyik versenytársához, a Zerodiumhoz hasonló cégek azt állítják, hogy ezeket a nulladik napi bugokat azzal a céllal szerzik be, hogy továbbértékesítsék más szervezeteknek, általában hatóságoknak vagy kormányzati ügynökségeknek, amelyek azt állítják, hogy a hackereszközökre a bűnözők nyomon követéséhez vagy kémkedéshez van szükségük. A Crowdfense most 5 és 7 millió dollár közötti összeget kínál az iPhone-ok feltörésére szolgáló nulladik napi bugokért, akár 5 millió dollárt az androidos telefonok hibáiért, akár 3 millió, illetve 3,5 millió dollárt a Chrome és Safari, valamint 3 és 5 millió dollár közötti összeget a WhatsApp és iMessage nem ismert réseiért.
A Crowdfense korábbi, 2019-ben közzétett árlistáján a legmagasabb kínált összeg 3 millió dollár volt az Android és iOS bugokért. Az áremelésre azért került sor, mert az olyan vállalatok, mint az Apple, a Google és a Microsoft egyre inkább megnehezítik az eszközeik és alkalmazásaik feltörését, ami azt jelenti, hogy a felhasználóik jobban védettek. "Évről évre nehezebbé válik a betörés, bármilyen szoftvert használunk, bármilyen eszközt használunk" - mondta Dustin Childs, a Trend Micro ZDI fenyegetés-tudatosságért felelős vezetője. A CrowdFense-től és a Zerodiumtól eltérően a ZDI a kutatóknak fizet a nulladik napi bugokért, majd jelenti azokat az érintett vállalatoknak azzal a céllal, hogy kijavítsák a sebezhetőségeket.
"Ahogy egyre több nulladik napi sebezhetőséget fedeznek fel a Google-hoz hasonló fenyegetéselemző csoportok, és a platformok védelme folyamatosan javul, úgy nő a támadóktól megkövetelt idő és erőfeszítés, ami a felfedezéseik költségének növekedését eredményezi" - mondta Shane Huntley, a Google fenyegetéselemző csoportjának vezetője, aki a hackereket és a nulladik napi sebezhetőségek használatát követi nyomon. Egy múlt havi jelentésében a Google azt írta, hogy 2023-ban a hackerek 97 nulladik napi sebezhetőséget használtak. A Google-termékeket és az Androidot célzó nulladik napi sebezhetőségek 75 százalékáért a vállalat szerint a kémprogramgyártók voltak felelősek, akik gyakran dolgoznak együtt nulladik napi brókerekkel.
A nulladik napi iparágban és annak környezetében dolgozók egyetértenek abban, hogy a sebezhetőségek kihasználása egyre nehezebb feladat. David Manouchehri, egy a piacot jól ismerő biztonsági elemző szerint "az olyan nehéz célpontokat, mint a Google Pixel és az iPhone, évről évre egyre nehezebb feltörni. Arra számítok, hogy a költségek idővel továbbra is jelentősen növekedni fognak".
"A gyártók kárenyhítési tevékenysége működik, és ez azt eredményezi, hogy az egész kereskedelem sokkal bonyolultabbá, sokkal időigényesebbé válik, és így ez aztán egyértelműen tükröződik az árban" - mondta Paolo Stagno, a Crowdfense kutatási igazgatója. Stagno kifejtette, hogy 2015-ben vagy 2016-ban akár egy kutató számára is lehetséges volt, hogy találjon egy vagy több bugot, és azokat olyan teljes értékű exploittá fejlessze, amely iPhone-okat vagy Androidokat céloz meg. Mostanra szerinte "ez a dolog szinte lehetetlen", több kutatóból álló csapatra van szükség, ami az árak emelkedését okozza.
A Crowdfense jelenleg az eddigi legmagasabb nyilvánosan ismert árakat kínálja Oroszországon kívül, ahol az Operation Zero nevű cég tavaly bejelentette, hogy akár 20 millió dollárt is hajlandó fizetni az iPhone-ok és Androidos-termékek feltörésére alkalmas eszközökért. Az oroszországi árak azonban az ukrajnai háború és az azt követő szankciók miatt lehetnek túl magasak - utóbbi elriaszthatja vagy egyenesen megakadályozhatja, hogy az emberek orosz céggel üzleteljenek.
Ki kell azt is emelni, hogy ezek nyilvános árak; a kormányok és a vállalatok még többet fizetnek. "A Crowdfense által a kutatóknak kínált ár az egyes Chrome Remote Code Execution és Sandbox Escape exploitokért a piaci ár alatti" - mondta Manouchehri, aki korábban a Linchpin Labs-nél dolgozott, egy startup cégnél, amely bugok megtalálására és értékesítésére összpontosított. A Linchpin Labs-t 2018-ban felvásárolta az L3 Technologies (ma L3Harris néven ismert) amerikai védelmi vállalat.
A hatóságok a nulladik napi hibákat bíróság által jóváhagyott bűnüldözési műveletekben használják. 2016-ban az FBI egy Azimuth nevű startup által biztosított nulladik nap sebezhetőséget használt, hogy feltörje a San Bernardinóban 14 embert megölő egyik lövöldöző iPhone-ját. Szintén ismert tény, hogy 2020-ban az FBI - a Facebook és egy meg nem nevezett harmadik fél cég segítségével - egy exploitot használt egy olyan férfi felkutatására, akit később elítéltek fiatal lányok online zaklatásáért és zsarolásáért. Több olyan eset is előfordult, amikor kémprogramokat használtak emberi jogi disszidensek és újságírók ellen Etiópiában, Marokkóban, Szaúd-Arábiában és az Egyesült Arab Emírségekben, valamint más, rossz emberi jogi helyzetű országokban. De hasonló visszaélések voltak demokratikus országokban is, például Görögországban, Mexikóban, Lengyelországban, Magyarországon és Spanyolországban.
Az Orbán-kormány az NSO Grouptól vette 6 millió euróért a Pegasus kémprogramot, amivel utána ellenzéki újságírókat figyelt meg
A nulladik napi brókereket, valamint az olyan kémprogramgyártó cégeket, mint az NSO Group és a Hacking Team, gyakran kritizálják azért, mert termékeiket kormányoknak adják el. Válaszul néhányan közülük mostanában vállalják, hogy tiszteletben tartják az exportkorlátozásokat, hogy ezzel próbálják korlátozni az ügyfeleik által elkövetett esetleges visszaéléseket. Stagno elmondta, hogy a Crowdfense követi az Egyesült Államok által elrendelt embargókat és szankciókat - még akkor is, ha a vállalat székhelye az Egyesült Arab Emírségekben van. A vállalat nem értékesít Afganisztánnak, Fehéroroszországnak, Kubának, Iránnak, Iraknak, Észak-Koreának, Oroszországnak, Dél-Szudánnak, Szudánnak és Szíriának - ezek mind az Egyesült Államok szankciós listáján szerepelnek. "Minden olyan vállalat és kormány, amelyet az USA közvetlenül szankcionál, ki van zárva" - mondta Stagno, hozzátéve, hogy ha egy meglévő ügyfél felkerül az amerikai szankciós listára, a Crowdfense lemondana róla.
Legalább egy cég, az Intellexa kémprogram-konzorcium szerepel a Crowdfense sajátos tiltólistáján. "Nem tudom megmondani, hogy volt-e ügyfelünk, és hogy megszűnt-e az lenni" - mondta Stagno. "Amennyire azonban én tudom, most ebben a pillanatban az Intellexa nem lehet a mi ügyfelünk". Márciusban az amerikai kormány szankciókat jelentett be az Intellexa alapítója, Tal Dilian, valamint egy üzlettársa ellen. Ez volt az első alkalom, hogy az amerikai kormány szankciókat szabott ki a kémprogram-iparban érintett személyekre. Az Intellexát és partnercégét, a Cytroxot is szankciókkal sújtotta az Egyesült Államok, ami megnehezíti a cégek, valamint az őket működtető személyek további üzleti tevékenységét. Ezek a szankciók aggodalmat keltettek az ágazatban.
Az Intellexa kémprogramját a jelentések szerint többek között Michael McCaul amerikai kongresszusi képviselő, John Hoeven amerikai szenátor és Roberta Metsola, az Európai Parlament elnöke ellen használták. Alfonso de Gregorio, a Zeronomicon, egy olaszországi székhelyű, nulladik napokat felvásárló startup alapítója alapítója szintén nem volt hajlandó megmondani, hogy cége kinek ad el termékeket. A vállalat a honlapján közzétette üzleti etikai kódexét, amely többek között tartalmazza a vevők átvilágítását azzal a céllal, hogy ne kössenek üzletet "az emberi jogokkal való visszaélésről ismert szervezetekkel", és tiszteletben tartsák az exportellenőrzést.
Ma már dollármilliókat érnek azok a programok, amelyek lehetővé teszik a kormányzati hackerek számára, hogy betörjenek az iPhone-okba és az androidos telefonokba, az olyan népszerű szoftverekbe, mint a Chrome és a Safari böngészők, valamint az olyan csevegőalkalmazásokba, mint a WhatsApp és az iMessage. És az áruk az elmúlt években megsokszorozódott, mivel ezeket a termékeket egyre nehezebb feltörni.
A Crowdfense startup cég közzétette frissített "nulladik napi" hibákat tartalmazó árlistáját - ezek a szoftverek olyan, még nem javított sebezhetőségei, amelyekről a fejlesztők nem tudnak. A Crowdfense-hoz és egyik versenytársához, a Zerodiumhoz hasonló cégek azt állítják, hogy ezeket a nulladik napi bugokat azzal a céllal szerzik be, hogy továbbértékesítsék más szervezeteknek, általában hatóságoknak vagy kormányzati ügynökségeknek, amelyek azt állítják, hogy a hackereszközökre a bűnözők nyomon követéséhez vagy kémkedéshez van szükségük. A Crowdfense most 5 és 7 millió dollár közötti összeget kínál az iPhone-ok feltörésére szolgáló nulladik napi bugokért, akár 5 millió dollárt az androidos telefonok hibáiért, akár 3 millió, illetve 3,5 millió dollárt a Chrome és Safari, valamint 3 és 5 millió dollár közötti összeget a WhatsApp és iMessage nem ismert réseiért.
A Crowdfense korábbi, 2019-ben közzétett árlistáján a legmagasabb kínált összeg 3 millió dollár volt az Android és iOS bugokért. Az áremelésre azért került sor, mert az olyan vállalatok, mint az Apple, a Google és a Microsoft egyre inkább megnehezítik az eszközeik és alkalmazásaik feltörését, ami azt jelenti, hogy a felhasználóik jobban védettek. "Évről évre nehezebbé válik a betörés, bármilyen szoftvert használunk, bármilyen eszközt használunk" - mondta Dustin Childs, a Trend Micro ZDI fenyegetés-tudatosságért felelős vezetője. A CrowdFense-től és a Zerodiumtól eltérően a ZDI a kutatóknak fizet a nulladik napi bugokért, majd jelenti azokat az érintett vállalatoknak azzal a céllal, hogy kijavítsák a sebezhetőségeket.
"Ahogy egyre több nulladik napi sebezhetőséget fedeznek fel a Google-hoz hasonló fenyegetéselemző csoportok, és a platformok védelme folyamatosan javul, úgy nő a támadóktól megkövetelt idő és erőfeszítés, ami a felfedezéseik költségének növekedését eredményezi" - mondta Shane Huntley, a Google fenyegetéselemző csoportjának vezetője, aki a hackereket és a nulladik napi sebezhetőségek használatát követi nyomon. Egy múlt havi jelentésében a Google azt írta, hogy 2023-ban a hackerek 97 nulladik napi sebezhetőséget használtak. A Google-termékeket és az Androidot célzó nulladik napi sebezhetőségek 75 százalékáért a vállalat szerint a kémprogramgyártók voltak felelősek, akik gyakran dolgoznak együtt nulladik napi brókerekkel.
A nulladik napi iparágban és annak környezetében dolgozók egyetértenek abban, hogy a sebezhetőségek kihasználása egyre nehezebb feladat. David Manouchehri, egy a piacot jól ismerő biztonsági elemző szerint "az olyan nehéz célpontokat, mint a Google Pixel és az iPhone, évről évre egyre nehezebb feltörni. Arra számítok, hogy a költségek idővel továbbra is jelentősen növekedni fognak".
"A gyártók kárenyhítési tevékenysége működik, és ez azt eredményezi, hogy az egész kereskedelem sokkal bonyolultabbá, sokkal időigényesebbé válik, és így ez aztán egyértelműen tükröződik az árban" - mondta Paolo Stagno, a Crowdfense kutatási igazgatója. Stagno kifejtette, hogy 2015-ben vagy 2016-ban akár egy kutató számára is lehetséges volt, hogy találjon egy vagy több bugot, és azokat olyan teljes értékű exploittá fejlessze, amely iPhone-okat vagy Androidokat céloz meg. Mostanra szerinte "ez a dolog szinte lehetetlen", több kutatóból álló csapatra van szükség, ami az árak emelkedését okozza.
A Crowdfense jelenleg az eddigi legmagasabb nyilvánosan ismert árakat kínálja Oroszországon kívül, ahol az Operation Zero nevű cég tavaly bejelentette, hogy akár 20 millió dollárt is hajlandó fizetni az iPhone-ok és Androidos-termékek feltörésére alkalmas eszközökért. Az oroszországi árak azonban az ukrajnai háború és az azt követő szankciók miatt lehetnek túl magasak - utóbbi elriaszthatja vagy egyenesen megakadályozhatja, hogy az emberek orosz céggel üzleteljenek.
Ki kell azt is emelni, hogy ezek nyilvános árak; a kormányok és a vállalatok még többet fizetnek. "A Crowdfense által a kutatóknak kínált ár az egyes Chrome Remote Code Execution és Sandbox Escape exploitokért a piaci ár alatti" - mondta Manouchehri, aki korábban a Linchpin Labs-nél dolgozott, egy startup cégnél, amely bugok megtalálására és értékesítésére összpontosított. A Linchpin Labs-t 2018-ban felvásárolta az L3 Technologies (ma L3Harris néven ismert) amerikai védelmi vállalat.
A hatóságok a nulladik napi hibákat bíróság által jóváhagyott bűnüldözési műveletekben használják. 2016-ban az FBI egy Azimuth nevű startup által biztosított nulladik nap sebezhetőséget használt, hogy feltörje a San Bernardinóban 14 embert megölő egyik lövöldöző iPhone-ját. Szintén ismert tény, hogy 2020-ban az FBI - a Facebook és egy meg nem nevezett harmadik fél cég segítségével - egy exploitot használt egy olyan férfi felkutatására, akit később elítéltek fiatal lányok online zaklatásáért és zsarolásáért. Több olyan eset is előfordult, amikor kémprogramokat használtak emberi jogi disszidensek és újságírók ellen Etiópiában, Marokkóban, Szaúd-Arábiában és az Egyesült Arab Emírségekben, valamint más, rossz emberi jogi helyzetű országokban. De hasonló visszaélések voltak demokratikus országokban is, például Görögországban, Mexikóban, Lengyelországban, Magyarországon és Spanyolországban.
Az Orbán-kormány az NSO Grouptól vette 6 millió euróért a Pegasus kémprogramot, amivel utána ellenzéki újságírókat figyelt meg
A nulladik napi brókereket, valamint az olyan kémprogramgyártó cégeket, mint az NSO Group és a Hacking Team, gyakran kritizálják azért, mert termékeiket kormányoknak adják el. Válaszul néhányan közülük mostanában vállalják, hogy tiszteletben tartják az exportkorlátozásokat, hogy ezzel próbálják korlátozni az ügyfeleik által elkövetett esetleges visszaéléseket. Stagno elmondta, hogy a Crowdfense követi az Egyesült Államok által elrendelt embargókat és szankciókat - még akkor is, ha a vállalat székhelye az Egyesült Arab Emírségekben van. A vállalat nem értékesít Afganisztánnak, Fehéroroszországnak, Kubának, Iránnak, Iraknak, Észak-Koreának, Oroszországnak, Dél-Szudánnak, Szudánnak és Szíriának - ezek mind az Egyesült Államok szankciós listáján szerepelnek. "Minden olyan vállalat és kormány, amelyet az USA közvetlenül szankcionál, ki van zárva" - mondta Stagno, hozzátéve, hogy ha egy meglévő ügyfél felkerül az amerikai szankciós listára, a Crowdfense lemondana róla.
Legalább egy cég, az Intellexa kémprogram-konzorcium szerepel a Crowdfense sajátos tiltólistáján. "Nem tudom megmondani, hogy volt-e ügyfelünk, és hogy megszűnt-e az lenni" - mondta Stagno. "Amennyire azonban én tudom, most ebben a pillanatban az Intellexa nem lehet a mi ügyfelünk". Márciusban az amerikai kormány szankciókat jelentett be az Intellexa alapítója, Tal Dilian, valamint egy üzlettársa ellen. Ez volt az első alkalom, hogy az amerikai kormány szankciókat szabott ki a kémprogram-iparban érintett személyekre. Az Intellexát és partnercégét, a Cytroxot is szankciókkal sújtotta az Egyesült Államok, ami megnehezíti a cégek, valamint az őket működtető személyek további üzleti tevékenységét. Ezek a szankciók aggodalmat keltettek az ágazatban.
Az Intellexa kémprogramját a jelentések szerint többek között Michael McCaul amerikai kongresszusi képviselő, John Hoeven amerikai szenátor és Roberta Metsola, az Európai Parlament elnöke ellen használták. Alfonso de Gregorio, a Zeronomicon, egy olaszországi székhelyű, nulladik napokat felvásárló startup alapítója alapítója szintén nem volt hajlandó megmondani, hogy cége kinek ad el termékeket. A vállalat a honlapján közzétette üzleti etikai kódexét, amely többek között tartalmazza a vevők átvilágítását azzal a céllal, hogy ne kössenek üzletet "az emberi jogokkal való visszaélésről ismert szervezetekkel", és tiszteletben tartsák az exportellenőrzést.