IT kšefty 21. storočia: Vlády kupujú od hackerov „softvérové diery“

Od Juhoafrickej republiky po Južnú Kóreu sa rozrastá biznis, v it komunite prezývaný ako „útok nultého dňa“. Profesionáli hľadajú chyby v zdrojovom kóde, ktoré môžu spôsobiť bezpečnostnú hrozbu. Ide o počítačové aplikácie, ktoré sú zraniteľné, no na nedostatky ešte nik neupozornil, nikde neboli zverejnené, softvéroví vývojári o nich ešte nevedia a dostupná oprava (záplata) zatiaľ nie je k dispozícii.

Microsoft minulý mesiac výrazne zvýšil odmenu za informácie o takýchto dierach, najvyššia ponuka dosiahla až 150 tisíc dolárov. Cenu diktujú aj krajiny, ktoré nakupujú softvérové chyby na dosiahnutie svojich cieľov. Pred troma rokmi sa Spojeným štátom a Izraelu podarilo napadnúť pomocou červa Stuxnet iránsky program na obohacovanie uránu.

 "Vlády tvrdia, že v záujme lepšej ochrany vlasti je dobré nájsť existujúce chyby v iných krajinách," poznamenal Howard Schmidt, koordinátor kybernetickej bezpečnosti v Bielom dome. „Problémom je, že  bezpečnosť, v podstate nás všetkých, sa postupne znižuje."

Priemerná doba na objavenie chyby v softvéri je takmer rok, tvrdí spoločnosť Symantec, špecializujúca sa na antivirusové programy. Je to presne 312 dní, lehota, ktorú majú zločinci na krádež, prípadne vlády na špionáž.

Časy sa menia, kým pred desiatimi rokmi by hackeri ponúkli dotknutej spoločnosti chybu za tričko s firemným logom, alebo za zverejnenie pseudonymu na firemnom webe, dnes tak urobia maximálne vlastenci v Číne v rámci pravidelných informácií komunistickej vláde. Údaje o zraniteľnosti počítačov sa časom stali skutočnou zlatou baňou.

Po afére Snowden je už dnes jasné, že aj Spojené štáty sú na zozname záujemcov o softvérové chyby. Jedným z najväčších kupcov je Izrael, Veľká Británia, Rusko, India a Brazília. Na trhu sa zúčastňujú aj tajné služby Severnej Kórei a niekoľkých krajín Blízkeho východu. Rovnako nakupuje aj Malajzia a Singapur, tvrdí to washingtonské Centrum pre strategické a medzinárodné štúdiá (CSIS).

Obchody sprostredkujú makléri, ktorí si účtujú 15 percent z kúpnej ceny. Existujú aj takí, ktorí si nechávajú platiť za zistené chyby mesačný paušál. Niektoré spoločnosti, ako napr. montpelliersky Vupen,  massachusettský Netragard in Acton, austinský Mass Exodus Intelligence  a maltský ReVuln, sa celkom otvorene hlásia k svojej činnosti. Vo Virginii je start-up spoločnosť Endgame, v ktorom bývalý riaditeľ NSA hrá dôležitú úlohu. O vyhľadávaní bezpečnostných dier vie svoje. Vypracoval rad nástrojov, ktoré sa primárne predávajú americkej vláde, a ktoré môžu predstavovať účinné opatrenia v boji proti internetovým útokom a špionážam.

Ani jediná spoločnosť vám neprezradí identitu svojho zákazníka. Adriel Desautels, zakladateľ Netragard, povedal len toľko, že ich klientom sú „výhradne Američania" a ich portfólio na útoky nultého dňa sa v ostatných troch rokoch zdvojnásobilo. Priemerná cena  za softvérovú chybu sa pohybuje medzi 35 až 160 000 dolármi.

Chaouki Bekrar,  zakladateľ Vupenu, vyhlásil, že spoločnosť neobchoduje so subjektmi zverejnenými na čiernej listine Európskej únie, Spojených štátov a Organizácie Spojených národov. Dodal, že na základe rastúceho dopytu sa ich príjem každý rok zdvojnásobí. Okrem poplatkov za špecifické  transakcie si Vupen účtuje aj 100 000 dolárovové ročné predplatné za to, že zákazníkom umožní nahliadnuť do svojho katalógu.

ReVuln sa špecializuje na priemyselné riadiace systémy  v čističkách odpadových vôd, ropovodoch a plynovodoch, ako aj chyby v programoch pre energetický sektor.

Aj veľké počítačové firmy spustili program v rámci ktorého sú ochotné platiť za svoje chyby. Priekopníkom bola pred desiatimi rokmi Mozilla Foundation, ktorá motivovala hackerov na odhaľovanie nedostatkov v prehliadači Firefox. Od vtedy tak urobili aj Google, Facebook a PayPal.

V roku 2010 začala spoločnosť Google "oceňovať" hackerov. Najväčšia čiastka vtedy dosiahla 3133,70 dolárov za chybu v prehliadači Chrome. Vlani už bola spoločnosť ochotný zaplatiť aj 20 tisíc dolárov za odkrytie vážnejších chýb. Dlhodobý odporca podobných aktivít, spoločnosť Microsoft minulý mesiac oznámila, že je ochotná zaplatí až 150 tisíc dolárov za určitú chybu, spolu s návrhom na riešenie ochrany.

Napadnuteľný softvér sa pomaly dostáva do nášho každodenného života. Asi pred pol rokom bola objavená zraniteľnosť televízorov Samsung. Útočníci by dokázali získať prístup na históriu internetového prehliadača v TV, alebo na pripojené zariadenie cez USB rozhranie. Na problém upozornila maltská spolonočnosť ReVuln, tá však neoznamuje podrobnosti, dokonca ani výrobcovi, informácie predáva vládám a bezpečnostným agentúram. Inteligentné mobily a televízia budú stále častejším cieľom útočníkov. Uživatelia si totiž vždy budú ochotne sťahovať a inštalovať škodlivý softvér, ktorý sa bude tváriť ako aktualizácia firmvéru. 

.