Keresettek a nulladik napi hibák

Az közismert, hogy sok cég gyűjt adatokat és készít felhasználói profilokat, azért, hogy ezeket értékesítse. Számos vállalkozás viszont arra specializálja magát, hogy biztonsági hibákat kutasson fel, majd eladja az ezekkel kapcsolatos információkat.

A The New York Times átfogó cikket jelentetett meg az úgynevezett nulladik napi sebezhetőségek és kódok kereskedelméről. E terület egyik jelentős szereplője a Revuln, amelyet két olasz férfi működtet: a 32 éves Luigi Auriemma és a 28 éves Donato Ferrante Máltán végzi a tevékenységét. Nyílt titok, hogy az ilyen jellegű szolgáltatásokat a titkosszolgálatok, például az Amerikai Egyesült Államok Nemzetbiztonsági Hivatala (NSA) is igénybe veszik. A nulladik napi biztonsági hibák azért keresettek, mert ezekről még a fejlesztők sem tudnak, így az operációs rendszerek és más szoftverek könnyen feltörhetők. A Revuln eleinte az érintett vállalatoknak adta el az információkat, azonban változnak az idők, most már az elsődleges vevők a különböző országok hivatalai közül kerülnek ki.

Howard Schmidt egykori kiberbiztonsági koordinátor hangsúlyozta: a kormányok kezdik azt az álláspontot képviselni, hogy úgy tudom a legjobban megvédeni a saját országomat, ha más államok biztonsági hibáit kutatom fel. A probléma ezzel csak az, hogy a világ rendszerei egyre kevésbé számítanak biztonságosnak, hiszen a cél nem a hibák kijavítása, hanem kihasználása. A legnagyobb befektetőknek ezen a piacon nem az amerikai hivatalok számítanak, hanem Nagy-Britannia, Izrael, Oroszország, India és Brazília, de jelen vannak a közel-keleti titkosszolgálatok Észak-Korea és számos ázsiai állam, elsősorban Malajzia és Szingapúr is.

A Symantec adatai alapján egy átlagos biztonsági hiba 312 napon át használható, csak ezután javítják ki. Brókerek működnek ezen a piacon, akik a legtöbbet kínálónak adják el a birtokukban lévő információkat. Ők bónuszt kapnak minden egyes hónap után, amikor a biztonsági rés még él. A piacon a titkosszolgálatokhoz kötődő vállalkozások kiválóan megélnek, például a virginiai székhelyű Endgame vezetője az NSA egykori igazgatója. A társaság kifejezetten olyan eszközöket fejleszt ki, amelyek segítségével könnyen felderíthetők a biztonsági hiányosságok. Az Endgame legfontosabb ügyfele az amerikai kormány.

A Netragard francia és alapítója Adriel Desautels szerint az egyedüli ügyfelük szintén az USA. Egy-egy biztonsági hiba ára 35 000 és 160 000 dollár között mozog. Egyre több pénzt fizetnek a fejlesztők is a feltárt hiányosságokért. A Google 2010-ben még csak átlagosan 3133,70 dollárt fizetett a Chrome egyetlen hibájáért, júniusban ez az összeg már elérte a 20 000 dollárt. A Facebook 2011 óta kapcsolódott be az üzletbe és eddig egymillió dollárral honorálta a hibakeresők munkáját. A Microsoft egyetlen biztonsági hibákért és a javítás leírásáért 150 000 dollárt ad. A ritka kivételek egyike az Apple, amely továbbra sincs jelen ezen a területen.