Berta Sándor

Keresettek a nulladik napi hibák

Az közismert, hogy sok cég gyűjt adatokat és készít felhasználói profilokat, azért, hogy ezeket értékesítse. Számos vállalkozás viszont arra specializálja magát, hogy biztonsági hibákat kutasson fel, majd eladja az ezekkel kapcsolatos információkat.

A The New York Times átfogó cikket jelentetett meg az úgynevezett nulladik napi sebezhetőségek és kódok kereskedelméről. E terület egyik jelentős szereplője a Revuln, amelyet két olasz férfi működtet: a 32 éves Luigi Auriemma és a 28 éves Donato Ferrante Máltán végzi a tevékenységét. Nyílt titok, hogy az ilyen jellegű szolgáltatásokat a titkosszolgálatok, például az Amerikai Egyesült Államok Nemzetbiztonsági Hivatala (NSA) is igénybe veszik. A nulladik napi biztonsági hibák azért keresettek, mert ezekről még a fejlesztők sem tudnak, így az operációs rendszerek és más szoftverek könnyen feltörhetők. A Revuln eleinte az érintett vállalatoknak adta el az információkat, azonban változnak az idők, most már az elsődleges vevők a különböző országok hivatalai közül kerülnek ki.

Howard Schmidt egykori kiberbiztonsági koordinátor hangsúlyozta: a kormányok kezdik azt az álláspontot képviselni, hogy úgy tudom a legjobban megvédeni a saját országomat, ha más államok biztonsági hibáit kutatom fel. A probléma ezzel csak az, hogy a világ rendszerei egyre kevésbé számítanak biztonságosnak, hiszen a cél nem a hibák kijavítása, hanem kihasználása. A legnagyobb befektetőknek ezen a piacon nem az amerikai hivatalok számítanak, hanem Nagy-Britannia, Izrael, Oroszország, India és Brazília, de jelen vannak a közel-keleti titkosszolgálatok Észak-Korea és számos ázsiai állam, elsősorban Malajzia és Szingapúr is.

A Symantec adatai alapján egy átlagos biztonsági hiba 312 napon át használható, csak ezután javítják ki. Brókerek működnek ezen a piacon, akik a legtöbbet kínálónak adják el a birtokukban lévő információkat. Ők bónuszt kapnak minden egyes hónap után, amikor a biztonsági rés még él. A piacon a titkosszolgálatokhoz kötődő vállalkozások kiválóan megélnek, például a virginiai székhelyű Endgame vezetője az NSA egykori igazgatója. A társaság kifejezetten olyan eszközöket fejleszt ki, amelyek segítségével könnyen felderíthetők a biztonsági hiányosságok. Az Endgame legfontosabb ügyfele az amerikai kormány.

A Netragard francia és alapítója Adriel Desautels szerint az egyedüli ügyfelük szintén az USA. Egy-egy biztonsági hiba ára 35 000 és 160 000 dollár között mozog. Egyre több pénzt fizetnek a fejlesztők is a feltárt hiányosságokért. A Google 2010-ben még csak átlagosan 3133,70 dollárt fizetett a Chrome egyetlen hibájáért, júniusban ez az összeg már elérte a 20 000 dollárt. A Facebook 2011 óta kapcsolódott be az üzletbe és eddig egymillió dollárral honorálta a hibakeresők munkáját. A Microsoft egyetlen biztonsági hibákért és a javítás leírásáért 150 000 dollárt ad. A ritka kivételek egyike az Apple, amely továbbra sincs jelen ezen a területen.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • nextman #8
    De kesobb fel voltak vazolva, halalbuntetes jart a gyilkossagert.
  • DontKillMe #7
    Ez így ebben a formában hülyeség. Mondtál is valamit meg nem is. Kb, mintha azt mondanám, hogy nem tilos kinyiffantani valakit, csak ezt követően hosszú távon negatívan érinti az általad bejárható terület nagyságát. Mert a btk.-ban sem az van, hogy nem szabad ölni, hanem ennyitől eddig terjedő szobafogság a jutalom. Utoljára a 10 parancsolat volt egyértelmű, viszont ott meg pont a következmények nem voltak azonnal felvázolva. ;).
  • fszrtkvltzttni #6
    Soha nem az mondták, hogy nem szabad ezeket használni, csak tisztázták, hogy ezeknek milyen következményei vannak.
  • kvp #5
    Az egesszel az a gond, hogy a neten nem szamit, hogy valaki mogott egy orszag all vagy csak gyerek, ugyanakkora karokat tud okozni. Azok, akik ezeket a hibakat adjak-veszik azt kockaztatjak, hogy sajat maguk is aldozatul esnek egy esetleges tamadasnak vagy a fel vilagot tonkrevagja egy gyerek, aki esetleg csak jateknak nezi az egeszet. A masik fele meg az, hogy ahogy az amerikai lehallgato rendszert a fel vilag hasznalja az usa elleni kemkedesre, ugy az ilyen hibakat is ki lehet hasznalni a nyugati vilag elleni tamadasokra. A nyugati kormanyok a rovidtavu elonyokert a hosszutavu biztonsagukat aldozzak fel.
  • mousee #4
    +1, pofátlanság a köbön. Most már kézzelfogható bizonyíték van arra, hogy amerika egy gennyláda. Ők jelentik be, hogy a kibertámadást háborúnak veszik, és bizonyíték nélkül meggyanúsították kínát, hogy tutibiztosan ők kémkednek utánuk, holott pont hogy a demokrácia sasai kémkednek arcátlan módon.

    Nem azt mondom hogy más országok tiszták (sőt), de akkor legalább ne hirdessék a mellüket verve a szöges ellentétét.

    Egyre jobban sajnálom hogy 2012-ben nem formázta le a földet egy meteor...
  • DontKillMe #3
    Azért érdekes, hogy az egyértelműen bűncselekménynek számító tevékenységet miként engedélyezik az egyes országokban. Az USA is pattog, hogy a kíberattakot ugyanolyan felkérésnek veszik egy háborúra, mintha fegyverrel történne, de ők a legnagyobb vevők a 0 day exploitra. Ganyé egy világ ez.
  • fszrtkvltzttni #2
    remélem nézik ahogy verem a f@szom, be is kaphatják
  • fszrtkvltzttni #1
    persze senki nem szájberbűnöz, csak Kína...