2014. december 10. 16:28, Szerda
Vajon mennyire legális, ha egy titkosszolgálat megvásárol bizonyos nulladik napi szoftverhibákat?
A Trend Micro vizsgálja annak a lehetőségét, hogy jogi lépéseket tegyen a német Szövetségi Hírszerző Szolgálat (BND) ellen, amiért az szeretne minél több információt összegyűjteni a nulladik napi programhibákról - mindezt Raimund Genes, a Trend Micro technológiai vezetője
jelentette be. A lehetséges beadvány jogi alapjául a német Btk. 202c, úgynevezett hackerparagrafusa szolgálhat. Az egyik kérdés annak megválaszolása lehet, hogy a BND milyen mértékben tevékenykedhet a feketepiacon és milyen dolgokat tehet meg, illetve miket nem.
A hivatal kapcsán november elején vált ismertté, hogy 2020-ig a nulladik napi biztonsági sebezhetőségek felvásárlására 4,5 millió eurót akar
költeni és az így megszerzett tudás segítségével akarja feltörni az SSL-titkosítást. Nem lehet tudni, hogy a 4,5 millió euró mire lenne elég, hiszen egy-egy hibáért 50 000 és 100 000 dollár közötti összeget is elkérnek a különböző fórumokon. A gyártók vagy a szoftverfejlesztők ekkora összegeket nem tudnak kifizetni a hibákért. A Mozilla 3000 dollárt fizet egy biztonsági sebezhetőségért, míg a Google 7500 dollárt egy Chrome-hibáért.
Genes kifejtette, hogy nagyon megrémült, amikor hallott a BND tervéről és arról, hogy ez Németországban lehetséges. Nemcsak morális okokból zavarja a dolog, hanem azért is, mert így sokkal nehezebbé válhat a munkájuk. Most már nem csupán a bűnözőkkel kell ugyanis szembenézniük, hanem olyan állami hivatalokkal is, amelyek közpénzek felhasználásával szállnak be a feketepiaci licitálásba.
A szoftverhibák pénzért
kelnek el, időnként ezek a sebezhetőségek egy vagyont
érnek és rendkívül
keresettek, nemcsak a bűnözők, hanem a különböző cégek és a hatóságok által is. Szeptemberben
írtunk arról, hogy Kevin Mitnick vállalata is pénzért árul biztonsági hibákat.