Trgovina bagovima: Koliko mogu da zarade hakeri

Vesti, 26.03.2012, 09:21 AM

Vešt haker danas pred sobom ima težak izbor. Kada pronađe način da savlada odbranu uređaja kakav je iPhone ili iPad, može da prijavi nepoznati propust proizvođaču ovih uređaja, kompaniji Apple, i predstavi svoj rad na nekoj od konferencija posvećenih kompjuterskoj bezbednosti. Umesto slave, haker može odabrati i opciju da svoje otkiće podeli sa Zero Day Iniative što će mu doneti desetak hiljada dolara čime će istovremeno pomoći proizvođaču da poboljša bezbednost svojih uređaja. U oba slučaja, dobitnici su krajnji korisnici jer će ispravljanje bagova značiti bolju bezbednost za korisnike iPhone-a i iPad-a.

Ali pred hakerima koji otkriju zero-day bag u programu je još jedan izbor koji je možda sporan sa moralnog stanovišta ali je u toj meri isplatljiv da prodaja exploita postaje unosan biznis.

Nastavljajući priču o trgovini bagovima, magazin Forbes je objavio cenovnik zero-day exploita koje hakeri prodaju vladama i obaveštajnim službama preko posrednika koji naplaćuju proviziju za postignute dogovore.

Jedan od posrednika u ovakvim pregovorima koji je razgovarao sa novinarom magazina Forbes, haker iz Bankoka koji se predstavlja pseudonimom “Grugq” bavi se ovakvim posredovanjem poslednjih godinu dana. On je tokom tog perioda zaradio milion dolara uzimajući 15% od postignute cene za zero-day exploite. Dogovor koji je postigao prošlog meseca sa neimenovanim američkim kupcem doneo je programeru koji je otkrio iOS exploit 250000 dolara.

Naravno, proizvođač se u ovakvim slučajevima ne obaveštava o otkrivenom bagu u softveru jer se isti koristi za pristup uređaju osobe koja je predmet interesovanja vlasti, obaveštajnih agencija ili policija.

Cena explota zavisi od toga koliko se koristi određeni softver i koliko ga je teško krekovati. Tehnika koja omogućava hakeru da preuzime kontrolu nad Mac OS X hakovanjem nekog programa može doneti manju dobit nego ona koja pogađa Windows jer Microsoft-ov OS ima značajno veći udeo na tržištu. Ali drugi Apple-ov proizvod, iOS, odnosno iOS exploit ima daleko veću vrednost nego exploiti za Android uređaje zbog značajno boljih zaštitnih mehanizama koje ima iOS.

Ko su kupci bagova? Zapadne vlade, pre svih američka vlada, kaže Grugq koji najčešće posluje sa američkim i evropskim kupcima jer oni bolje plaćaju. Naglašavajući da nema kontakte sa ruskim vlastima, Grugq kaže da je poslovanje sa ruskom mafijom rizično i da se ne isplati. Kinezi spuštaju cene bagovima, jer ova zemlja ima previše hakera koji ih prodaju samo vlastima Kine.

Braneći se od kritika koje trgovce exploitima smatraju savremenim trgovcima smrti Grugq kaže: “U suštini vi prodajete komercijalni softver, kao i svaki drugi. On mora da se dotera i da dođe (u paketu) sa dokumentacijom. Jedina razlika je ta što vi prodajete samo jednu licencu i što vas nazivaju zlim.”