Kto stoi za firmą Zerodium i dlaczego oferuje 2 miliony dolarów za exploity 0-day?

11 stycznia, 2019
Kto stoi za firmą Zerodium

May dobrą i złą wiadomość. Zacznijmy od dobrej. Firma Zerodium, która znana jest ze skupowania exploitów na luki w oprogramowaniu i sprzęcie dwukrotnie podniosła wypłaty dla pentesterów i prawdziwych hakerów. Od niedawna za niektóre podatności można zyskać o 100% więcej zielonych niż jeszcze w grudniu 2018 roku. Na przykład za ekstremalnie rzadki RCE uzyskujący roota w iOS (bez żadnego kliknięcia) podniesiono stawkę z 1.5 miliona do 2 milionów dolarów. Za taką samą podatność, ale już z minimalnym udziałem użytkownika (jedno kliknięcie np. po przekierowaniu na stronę z exploitem) można zarobić 1.5 miliona dolarów. Za podatność dającą możliwość zdalnego wykonania kodu w komunikatorach WhatsApp, iMessage lub SMS/MMS firma Zerodium płaci aż 1 milion dolarów. Tak czy owak znalezienie takich podatności wydaje się niemożliwe, a przynajmniej nieosiągalne dla normalnych ludzi.

Firma Zerodium została założona w lipcu 2015 roku przez człowieka o imieniu Chaouki Bekrar, tego samego, który w 2008 roku powołał firmę Vupen i która też skupowała i sprzedawała exploity 0-day dla agencji rządowych na całym świecie. Obecnie za jailbreak’i na iOS pan Bekrar płaci 2 miliony dolarów. Nagrody poszły w górę i zostały sprowokowane najprawdopodobniej popytem. Wojny technologiczne i cyberszpiegostwo na poziomie rządowym doprowadziło do powstania takich firm jak Vupen, Zerodium oraz Exodus Intel. Podwyżka cen wynika m.in. ze stosowania lepszych zabezpieczeń w najnowszych systemach operacyjnych i w oprogramowaniu.

Jednakże jeszcze nie popadajmy w zachwyt. Krajobraz bezpieczeństwa nadal kształtuje się raczej w czarnych barwach — wszystkich i wszystko można zhackować (prędzej czy później) — ale rosnąca świadomość zwykłych obywateli, a także rządów państw (które powołują własne cyberarmie) przyczyniają się do realizowania strategii bezpieczeństwa przez „Kowalskich” na blacie własnego biurka, a także ochrony państwa w przestrzeni wirtualnej. Echa w mediach o dużych wyciekach mają podłoże psychologiczno-mobilizacyjne. Wyższe ceny to także bardziej restrykcyjny regulamin akceptowania podatności i dawanie sygnałów naukowcom, hakerom i badaczom bezpieczeństwa, że mają o co rywalizować. Kwota jaką firma Zerodium płaci za lukę zależy od wielu czynników. Przede wszystkim exploit musi być unikalny, nigdy nie występujący wcześniej. Musi dotyczyć konkretnej wersji aplikacji i systemu lub powodować wykonanie kodu na wszystkich wydaniach. Te dwa miliony dolarów za jailbreak’a w iOS nie jest górną granicą. Zerodium jest w stanie zapłacić znacznie więcej za coś naprawdę unikalnego.

Aktualny cennik dla komputerów i serwerów wygląda następująco:

Zerodium cennik za exploity

A to już ceny dla systemów mobilnych:

Zerodium ceny za exploity na systemy mobilne

Jaki ma w interes Zerodium i czy to, co robi jest moralnie usprawiedliwione?

Nie dajcie sobie wmówić, że „czarne jest czarne, a białe jest białe”. Kto kupuje exploity 0-day i je odsprzedaje przyczynia się do istnienia zła na tym świecie. Naukowiec, który odnalazł coś naprawdę interesującego będzie wniebowzięty. Zarobione pieniądze może zainwestować w opracowanie lepszych narzędzi lub zakup potrzebnego sprzętu i oprogramowania do kolejnych badań. Jednakże  druga strona interesu perfidnie i w tajnych umowach sprzedaje podatności doliczając swoją marżę, czyli pośrednio przyczynia się do opracowywania techniki ataku, które będą wykorzystane przeciwko cywilom w kampaniach szpiegowskich realizowanych na dużą skalę. Kto wie może właśnie w taki sposób powstały exploity na podatność w protokole SMB doprowadzając do globalnego chaosu?

Na wielomilionowe wypłaty za podatności pozwolić sobie może tylko duży gracz — korporacja albo agencje finansowane z budżetu państwa. Teoretycznie amerykańska firma Zerodium działa na tzw. białym rynku, ale w praktyce nie dowiemy się z jaką marżą sprzedaje exploity kontrahentom i co najważniejsze — komu je sprzedaje. Czy firma Zerodium jest moralnie usprawiedliwiona? To bardzo dochodowy interes. Jeśli w grę wchodzą tak wielkie pieniądze nie ma mowy o sentymentach i ratowaniu świata. Zerodium żeruje na bezpieczeństwie Internautów, ponieważ zamiast informować o podatnościach przekazuje je stronom trzecim nie dając producentowi szansy na załatanie luk. Przykład? Expoit na rozszerzenie NoScript: w przeglądarce Tor możliwe było uruchomienie złośliwego kodu JavaScript, który ujawniał rzeczywisty adres IP użytkownika, nawet jeśli w pluginie zastosowano maksymalny poziom ustawień.

Kilka lat temu Zerodium płaciło 3x więcej niż Google w programie bug bounty za zgłoszenie luki w zabezpieczeniach Chrome:

Google pays $15,000 for a Chrome exploit with sandbox escape, Zerodium pays x3 times this amount = $45,000++ (minimum) for the same exploit

Takim firmom jak Zerodium nie zależy na bezpieczeństwie Internautów. Oprócz amerykańskiego giganta brokerami są również Exodus Intel, Hacking Team, FinFisherShadow Brokers — firmy te zajmują się skupowaniem informacji o podatnościach i nawet niektóre z nich oferują szeroki wachlarz dostępności exploitów w miesięcznym planie abonamentowym za kilkadziesiąt tysięcy dolarów. Te oraz niewymienione w artykule firmy hackerskie mogą potajemnie kupować exploity od takich graczy jak Zerodium by następnie opracowywać narzędzia typu FinSpy lub GALILEO, które później są wykorzystywane przeciwko obywatelom pod pretekstem walki z cenzurą i terroryzmem.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]