Digiajastu "relvaäri": häkker võib riikidele ründevara müües teenida miljoneid
Tänapäeval peab oskuslik häkker langetama raskeid valikuid, vahendab Forbes.
Kui leiad senitundmatu meetodi mõne seadme, näiteks iPhone'i või iPadi turvalisuse murdmiseks, võid sellest Apple'ile teada anda ning esitleda oma saavutust mõnel arvutiturbekonverentsil, mis võib kaasa tuua kuulsust ja tulusaid tööotsi konsultandina.
Kui otsustad seda jagada HP algatusega Zero Day Initiative, võid ettevõtte turbe tõhustamise pealt teenida kuni 10 000 dollarit.
Mõlemad variandid võimaldavad Apple'il vastava turvaaugu ära paigata ja pakkuda suuremat turvalisust sadadele miljoneile iPhone'i ja iPadi kasutajaile.
Kuid igal häkkeril, kes tunneb Bangkokis resideeruvat, pseudonüümi The Grugq taha peituvat turbeuurijat — või mõnd tema ametivenda, on kolmaski võimalus: korraldada "vallutusmaakleri" vahendusel tehing info üleandmiseks, vältida üleliigsete küsimuste esitamist ja teenida veerand miljonit dollarit (millest The Grugq ampsab 15protsendise vahendustasu).
Kõik sellised hinnapakkumised eeldavad müügitehingu eksklusiivsust, tarkvaraversiooni absoluutset kaasaegsust ning arusaadavatel põhjustel sihikule võetud tarkvaratoote müüja teadmatussejätmist.
Mõnikord võidakse tasu maksta koguni osakaupa, kusjuures iga järgmine makse sõltub sellest, kas müüja on nn vallutuseks (ingl exploit) kasutatavad turvaaugud kinni lappinud või mitte. Mõnedel puhkudel tuleb vastavaid tehnikaid tõhusa tulemuse saavutamiseks kombineerida.
Vallutusvara hind sõltub rünnatava tarkvara levikust ja selle murdmise keerukusest. Meetod, mis võimaldab häkkeril pärast rakenduse murdmist enda kontrolli alla võtta operatsioonisüsteemil Mac OS X jooksva masina, võib sisse tuua vaid murdosa, võrreldes tehnikaga, mille sihtmärgiks on operatsioonisüsteem Windows (kuna Windowsil on suurem turuosa).
Küll aga maksab Apple'i seadmeid jooksutava iOSi vallutus rohkem kui Androidi-seadmete ründamiseks loodud tarkvara — osaliselt seetõttu, et see nõuab Apple'i märkimisväärselt tugevamate turvameetmete alistamist.
See tähendab, et suurem osa agentuure võib lihtsalt välja töötada omaenda Androidi-rünnaku, selgitab The Grugq, samas kui süsteemid, mis võimaldavad tungida iPhone'idesse, on märksa haruldasemad ja kallimad.
Mees väidab, et tema teada oleksid mitmed agentuurid mullu Comexi-nimelise häkkeri loodud iOS-i-vallutusvara Jailbreakme 3.0 ainuostuõiguse eest olnud valmis maksma 250 000 dollarit.
Kes selliseid kopsakaid summasid välja käib? Lääneriikide, eriti just USA valitsused, kinnitab The Grugq, kes ise on kodakondsuselt lõuna-aafriklane.
Tema ei piirdu oma müügitöös Ameerika ja Euroopa agentuuride ja töövõtjatega mitte ainult eetilistel kaalutlustel, vaid ka sellepärast, et nendega on tulusam äri ajada.
"Programmiviga ära kasutava ründevara müümine Vene maffiale tähendab, et see muutub väga varsti kasutuks. Pealeselle maksavad nad väga kitsilt," kinnitab The Grugq, rõhutades, et Venemaa valitsusega tal sidemed puuduvad.
"Venemaa kubiseb kriminaalkurjategijatest, kes teevad ründevara rahaks kõige jõhkramal ja keskpärasemal moel, seejuures üksteist vastastikku igal võimalusel tüssates."
Hiinas olevat tema sõnul aga liiga palju häkkereid, kes müüvad oma saavutusi ainult Hiina valitsusele, lüües sel moel hinnad alla. "Turg on rängas madalseisus," väidab ta.
Ka muud piirkonnad nagu Lähis-Ida ja ülejäänud Aasia ei suuda läänes tavalistele hindadele konkurentsi pakkuda.
Sellepärast pärinebki 80% The Grugqi sissetulekust USAst, ehkki vahetevahel on talle tooteid pakkunud arendajad palunud, et ta müüks neid vaid eurooplastele.
Rohkem kui kümnendi häkkerlusega aktiivselt tegelenud The Grugq on kohanud palju föderaalagente, tal on kontaktid hulga föderaalagentuuridega ning tänu professionaalsele turundustööle ja -toele oskab ta arendajate leiutatud vallutuslahendusi ostuhuvilistele ka veenval viisil esitleda.
"Sisuliselt tegeled sa äritarkvara müügiga. Selles äris kehtivad samad reeglid, mis muus müügitööski. Toode peab olema lihvitud ja sellega peab kaasnema dokumentatsioon," selgitab kurivara-ärimees. "Ainus vahe on selles, et maha müüakse üldse ainult üks kasutuslitsents ning üldiselt peetakse sind halvaks inimeseks."
Mõistagi pälvib selline arendus- ja müügitegevus ohtralt halvakspanu. Üks häälekamaid kriitikuid on privaatsuse-entusiast ja avatud ühiskonna sihtasutuste liidu Open Society Foundations esindaja Chris Soghoian, kes nimetab tarkvaravallutusvara müüjaid "nüüdisaja surmakaupmeesteks", kes äritsevad "kübersõja-laskemoonaga".
"Niipea, kui mõnele valitsusele müüdud ja relvana kasutamiseks mõeldud nullpäeva-ründetarkvaratootele saab küüned taha "pahalane", kes selle abil USA elutähtsat infrastruktuuri ründab, läheb paras põrgu lahti," hoiatas Soghoian veebruaris Kaspersky Labi korraldatud turvaanalüütikute tippkohtumisel peetud loengus.
(Selgituseks: nullpäeva-rünnak ehk zero-day attack on küberrünnak, mis kasutab ära rünnatava rakenduse senitundmatut turvaauku. S.t, rünnaku ja turvaaugust teadlikuks saamise vahele jääb "null päeva".)
"Turbeuurijad ei tohiks nullpäeva-vallutusvaratooteid müüa vahendajatele. Nood vahendajad on oportunistlikud üksiküritajad ning kui me ei tee midagi nende peatamiseks, tõmbavad nad kogu arvutiturbetööstusele suure häda kaela," lisab Soghoian.
The Grugq oma tegevuses midagi ebaeetilist ei näe. "Hiinlased tegelevad massilise spionaažiga. Kas Soghoian tahab keelustada tarkvaratoodete - vabandust, vallutusvaratoodete - müügi USA ja Euroopa liitlastele?" küsib ta. "Ainus võimalik tulemus oleks, et Hiina kasvatab oma sisetoodangut ja oskusbaasi, samal ajal kui lääs jääb arengus maha."
Igatahes, lisab mees, ei usu ta, et ründevara müügi keelustamine kuidagi kasutajate turvalisust suurendaks. "See hävitab ründamiseks loodud programmide turu sama tõhusalt kui sõda uimastitega on elimineerinud uimastituru," ironiseerib häkker.
The Grugq pole kindlasti ainus ründevaravahendaja; exploit-programme ostavad ja müüvad mitmed väikeettevõtjad nagu Vupen, Endgame ja Netragard, aga ka suured kaitsetöösturid nagu Grumman ja Raytheon.
Netragardi asutaja Adriel Desautels, kes on enda sõnul vallutusvara müügiga tegelenud juba kümnendi, kinnitab, et turg on ainuüksi viimase aastaga kihama löönud.
Ostjaid on ettevõtja osutusel rohkem, nende kukrud kopsakamad, äritehingud ei võta enam aega mitu kuud, vaid ainult mõned nädalad, ning kui paar aastat tagasi pakuti talle nullpäeva-ründevara müüa keskmiselt kuus korda kuus, laekub nüüd igal kuul juba 12–14 müügipakkumist.
Desautels ei ole nõus oma klientide kohta midagi konkreetset ütlema, kuid kinnitab, et mitte iga klient ei plaani nullpäeva-ründetooteid kasutada luuramiseks.
Näiteks olevat ta hiljuti müünud brausereid ründava programmi 125 000 dollari eest ühele erasektoris tegutsevale kliendile, kes vajas seda pelgalt turundustöös lahenduse kontrollmeetmena (ingl proof-of-concept) kasutamiseks.
Mõned Netragardi klientidest kasutavad ründerakendusi läbistustestimise vallas, teab ta. "Kuulikindla vesti kuulikindluse kontrollimisel peab kasutama kuule, mitte veepüstolit," toob Desautels ilmeka võrdluse.
Igal juhul, kinnitab ta, valib firma kliente äärmise hoolega. "Ütleme ära palju rohkematele küsijatele kui tehinguid teeme," ütleb ta. "Sisuliselt tegeleme me ju küberrelvaäriga."
Kuidas jääb aga võimalusega müüa ründevara tarkvarapakkujale endale, et too saaks programmiga sihikule võetud turvalünga paigata?
Firmad nagu Mozilla ja Facebook pakuvad arendajatele süsteemiaukudest teatamise eest paar tuhat dollarit. Teadete eest kõige keerulisemate tarkvaravigade kohta maksab Google maksimaalselt 3133 dollarit ja 70 senti (arv, mis peaks meenutama häkkerislängiväljendit eliidi kohta).
The Grugqi jaoks pole neljakohaline hind aga kaugeltki elitaarne pakkumine. "Kui nad tahavad oma turvaaukudest lahti saada, peavad nad maksma turuhinda nagu kõik teised," ütleb ta. "Igaühelt tema võimete kohaselt, igaühele tema vajaduste järgi? See on ju kommunism. Kui nad tahavad tulemusi, peavad nad maksma nagu teisedki."
***
Nullpäeva-vallutuste hindu mustal turul
(toodud USA dollarites)
Adobe Reader: 5000 kuni 30 000
Mac OS X: 20 kuni 50 000
Android: 30 kuni 60 000
Flashi või Java brauseripluginad: 40 kuni 100 000
MS Word: 50 kuni 100 000
Windows: 60 kuni 120 000
Firefox või Safari: 60 kuni 150 000
Chrome või Internet Explorer: 80 kuni 200 000
iOS: 100 kuni 250 000
Jälgi Forte uudiseid ka Twitteris!