Trgovina bagovima: Zašto je VUPEN odbio da otkrije kako je hakovan Chrome

Vesti, 23.03.2012, 08:35 AM

Svet hakera je crno-beli svet. Kada “black hat” haker otkrije ranjivost u softveru ili veb sajtu, pronađe način za presretanje emailova ili pristupanje online bankovnim nalozima, on svoje otkriće koristi za ostvarenje ličnih ciljeva, često pri tom kršeći zakon. Kada “white hat” haker otkrije nešto od nabrojanog, on o svom otkriću obaveštava proizvođača softvera ili ga objavljuje javno.

Tekst koji je objavio magazin Forbes otkriva da nije sve tako crno ali ni belo i da postoji i treća grupa hakera koji koriste otkrivene propuste u bezbednosti programa kako bi ostvarili profit. Ali oni se ne nalaze ni u sivoj zoni hakovanja ("grey hat" hakeri) jer posledice njihovog rada mogu biti mnogo gore od onih koje za sobom ostavlja "obična" prevara "black hat" hakera.

Istraživači francuske firme VUPEN otkrili su ranjivost u Google-ovom brauzeru Chrome. Da je Chrome ranjiv i da ga je moguće hakovati oni su dokazali na nedavno održanom hakerskom takmičenju Pwn2Own koje se održava šestu godinu zaredom u okviru konferencije posvećene bezbednosti CanSecWest. Dan pre nego što će hakeri iz VUPENa hakovati Chrome, to je pošlo za rukom i Sergeju Glazunovu na takmičenju Pwnium koje se pod pokroviteljstvom Google-a prvi put održava u okviru iste konferencije. Za svoj podvig Glazunov je od Google-a nagrađen sa 60000 dolara koliko bi dobili i istraživači VUPENa da su dokazali da su za hakovanje Google-ovog brauzera iskoristili bag u samom Chrome-u. Ali VUPEN je to odbio ostavivši Google u mraku neznanja sa dobrim razlogom - njegovi istraživači svoje znanje prodaju obaveštajnim agencijama i policijama za mnogo veće sume.

Obaveštajne agencije i policije plaćaju hakerske tehnike koje im omogućavaju da provale u nečiji računar, ukradu podatke i prate ponašanje i aktivnosti osobe koja je predmet njihovog interesovanja. Takve špijunske metode su visoko vrednovane s obzirom da oni koji ih praktikuju ostaju neprimećeni od strane korisnika računara.

Kada se hakovanje koristi kao oružje onda se, kao i u slučaju svakog drugog oružja, otvara mogućnost trgovine. Hakeri iz VUPENa su toga svesni.

"Ako prodajete oružje nekome, nema načina da budete sigurni da ga neće prodati drugoj agenciji," kaže prvi čovek VUPENa, haker Čaoki Bekrar.

On nije želeo da kaže koliko VUPENu plaćaju klijenti firme, ali je izvesno da je reč o iznosima deset pa i stotinu puta većim od onih koje možete dobiti od proizvođača softvera ukoliko otkrijete "zero day" bag u programu i detalje o svom otkriću prosledite proizvođaču softvera.

Ono što je Bekrar otkrio je da klijenti VUPENa plaćaju oko 100000 dolara za ugovor koji im obezbeđuje privilegiju kupovine tehnika hakera VUPENa. Tehnike uključuju napade na programe i operativne sisteme kao što su Microsoft Word, Adobe Reader, Android, iOS i druge.

Forbes citira izvor blizak VUPENu navodeći podatak da jedna jedina tehnika iz kataloga ove francuske firme košta daleko više od cene pretplatničkog ugovora.

Imajući ovo u vidu, jasno je zbog čega su hakeri VUPENa odbili Google. Prema rečima Bekrara, oni nikada nisu ni imali nameru da otkivaju detalje svojih tajnih tehnika Google-u, a naročito ne za nagradu od 60000 dolara.

"Ne bismo podelili to sa Google-om čak ni za milion dolara," kaže Bekrar. "Ne želimo da im pružimo znanje koje bi im pomoglo da isprave taj exploit ili druge slične njemu. Želimo da to zadržimo za svoje klijente."

A klijentima VUPENa se očigledno isplati da plaćaju hakerske tehnike i da proizvođači softvera ne ispravljaju propuste u svojim programima jer im upravo oni pomažu da upadnu u računare onih koji su osumnjičeni za kriminalne aktivnosti kao i onih koji su predmet interesovanja obaveštajnih službi.

VUPEN navodno pažljivo bira svoje klijente, prodajući svoje tehnike isključivo NATO alijansi i njenim partnerima uz obavezu potpisivanja ugovora koji garantuju da se njihovi exploiti neće preprodavati ni razotkrivati.

Iako nisu jedini koji praktikuju trgovinu exploitima, VUPEN se našao na meti kritika zbog prodaje municije za sajber ratovanje. Kako stvari mogu krenuti naopako najbolje ilustruje primer alata za nadzor koji je Ujedinjenim Arapskim Emiratima prodao Blue Coat Systems of Sunnyvale da bi na kraju taj alat bio korišćen za praćenje disidenata u Siriji.