Σε ένα Google-run διαγωνισμό για την ασφάλεια του Chrome browser που πραγματοποιήθηκε στο Βανκούβερ τον περασμένο μήνα, ο Chrome γνωστός, για την ασφάλεια του παραβιάστηκε από hackers δύο φορές. Και στις δύο φορές χρησιμοποιήθηκαν από τους hackers, νέες μέθοδοι για να παρακάμψουν την προστασία ασφάλειας του Chrome και μέσω της ευπάθειας να πάρουν πλήρη πρόσβαση στον υπολογιστή-στόχο. Δύο hackers κατάφεραν να νικήσουν την προστασία της εταιρείας, αλλά αυτό δεν είναι πρόβλημα καθώς η Google είχε εξασφαλίσει την πλήρη διαχείριση των τυχών ευπαθειών που θα προέκυπταν από τον διαγωνισμό. Το πραγματικό πρόβλημα έρχεται από τους hackers που δεν παραβρέθηκαν στον διαγωνισμό της Google.
Μια ομάδα hackers από τη γαλλική εταιρεία ασφαλείας VUPEN παίζει με διαφορετικούς κανόνες και σίγουρα όχι με αυτούς που βάζει η Google. Αρνήθηκαν να πάρουν μέρος στον διαγωνισμό της για να σπάσουν την ασφάλεια του Chrome και να κερδίσουν μία χορηγία από την HP. Η Google όπως προαναφέραμε έδωσε από 60.000 δολάρια σαν βραβείο στον κάθε ένα από τους δύο hackers που κέρδισαν στον διαγωνισμό με την προϋπόθεση ότι θα γνωστοποιήσουν κάθε λεπτομέρεια των επιθέσεων τους και να βοηθήσουν την εταιρεία να διορθώσει τα τρωτά σημεία που είχαν χρησιμοποιηθεί. Ο διευθύνων σύμβουλος της VUPEN, Chaouki Bekrar, δηλώνει ότι η εταιρεία του δεν είχε ποτέ την πρόθεση να γνωστοποιήσει στην Google τις μυστικές τεχνικές τους για 60.000 δολάρια.
“Δεν θα το μοιραζόμασταν με την Google ακόμα και για ένα εκατομμύριο δολάρια”, αναφέρει ο Bekrar. “Εμείς δεν θέλουμε να τους δώσουμε οποιαδήποτε γνώση που μπορεί να τους βοηθήσει στον καθορισμό της κάθε ευπάθειας. Κρατάμε την γνώση μας για τους πελάτες μας. ”
Οι πελάτες της VUPEN, δεν αποσκοπούν βέβαια στο να διορθώσουν τα σφάλματα ασφαλείας της Google ή οποιουδήποτε άλλου προμηθευτή λογισμικού. Είναι κρατικές υπηρεσίες που αγοράζουν “zero-day” exploits ή τεχνικές hacking τεχνικές που χρησιμοποιούν σε απόρρητες αποστολές.
Ένα zero-day exploit που θα μπορούσε να δώσει στον hacker 2.000 με 3.000 δολάρια από κάποια εταιρεία λογισμικού που ενδιαφέρετε για την ασφάλεια του προϊόντος της, θα μπορούσε να αποφέρει ένα κέρδος 10 ή ακόμη και 100 φορές παραπάνω αν ο hacker καταφέρει να το πουλήσει σε κατασκόπους ή αστυνομικούς οι οποίοι θέλουν να το χρησιμοποιήσουν κάπου στα κρυφά.
Ο Bekrar δεν αναφέρει λεπτομερώς την ακριβή τιμολόγηση της VUPEN, αλλά αναλυτές της Frost & Sullivan, η οποία ονόμασε την VUPEN Επιχειρηματική Εταιρεία της Χρονιάς για το 2011 στον τομέα της έρευνας ευπειθειών, αναφέρει ότι οι πελάτες της VUPEN πληρώνουν περίπου 100.000 δολάρια ετησίως σαν συνδρομή, η οποία τους δίνει το προνόμιο αγοράς των τεχνικών της VUPEN του. Οι μέθοδοι αυτές περιλαμβάνουν επιθέσεις εισβολής σε λογισμικό όπως το Microsoft Word, Adobe Reader, το Android της Google, το iOS της Apple. Επιθέσεις σε λειτουργικά συστήματα και πολλά άλλα που η VUPEN υπερηφανευόταν στον hacking διαγωνισμό της HP ότι είχε έτοιμα exploits για κάθε σημαντικό πρόγραμμα περιήγησης. Πηγές εξοικειωμένες με τις δουλειές της εταιρείας αναφέρουν ότι μια απλή τεχνική από τον κατάλογό τους κοστίζει συχνά πολύ περισσότερο από την εξαψήφια συνδρομή της.
Ακόμη και με αυτές τις τιμές, η VUPEN δεν πουλάει τα exploits της σε κάποιον αποκλειστικά. Αντί για αυτό, πλασάρει το κάθε κόλπο της σε πολλούς κυβερνητικούς οργανισμούς. Είναι ένα επιχειρηματικό μοντέλο που συχνά στρέφει τους πελάτες της τον ένα εναντία στο άλλο, εκμεταλευόμενο το κατασκοπευτικό απόρρητο.
Ο Bekrar ισχυρίζεται ότι εξετάζει προσεκτικά τον κάθε πελάτες τους και ότι πουλάνε μόνο σε κυβερνήσεις του ΝΑΤΟ και “εταίρους του ΝΑΤΟ.” Αναφέρει ότι η VUPEN έχει περαιτέρω “εσωτερικές διαδικασίες” για να φιλτράρει τα μη δημοκρατικά έθνη και απαιτεί από τους αγοραστές να υπογράφουν συμβάσεις που αναφέρουν ότι δεν θα αποκαλύψουν ή θα μεταπωλήσουν τα exploit τους . Αλλά ακόμα κι έτσι και ο ίδιος παραδέχεται ότι οι ψηφιακές μέθοδοι επίθεσης της εταιρείας μπορούν να πέσουν σε λάθος χέρια. “Εμείς κάνουμε το καλύτερο που μπορούμε για να διασφαλίσουμε ότι δεν θα πάνε έξω από τον οργανισμό που τα αγοράζει,” αναφέρει ο Bekrar.
Βέβαια υπάρχουν και οι επικριτές της VUPEN. Ο Chris Soghoian, ένας ακτιβιστής από το Open Society Foundations, δηλώνει ότι η VUPEN είναι ένας “σύγχρονος έμπορος θανάτου,” αφού πουλάει “σφαίρες για τον κυβερνο-πολέμο.” Όταν από ένα από τα exploit της πωλείται, αναφέρει ο Soghoian εξαφανίζεται σε μια μαύρη τρύπα, και δεν έχουν ιδέα θα χρησιμοποιηθεί, με ή χωρίς ένταλμα, ή αν πρόκειται να γίνει παραβίαση ανθρωπίνων δικαιωμάτων. “Το πρόβλημα υπήρχε αλλά φάνηκε καθαρά πέρυσι, όταν εργαλεία επιτήρησης της Blue Systems Coat του Σάνιβεϊλ στην Καλιφόρνια πωλήθηκαν σε μια εταιρεία από τα Ηνωμένα Αραβικά Εμιράτα, αλλά τελικά κατέληξαν στην παρακολούθηση πολιτικών αντιφρονούντων της Συρίας. ” Η VUPEN δεν ξέρει πώς χρησιμοποιούνται τα exploit τους και μάλλον δεν θέλουν να ξέρουν”. Ο Bekrar βέβαια περιγράφει εταιρεία του σαν “διαφανή” ενώ ο Soghoian την αποκαλεί “αναίσχυντη”.
Παρά το ότι ο Bekrar θέλει την εταιρεία του διαφανή, δεν είπε πολλά για την προσωπική του ιστορία ή την καριέρα του πριν από την ίδρυση της VUPEN-ούτε καν την ηλικία του. Η VUPEN είναι η τρίτη του κατά σειρά εταιρεία που επικεντρώθηκε στην αναζήτηση σφαλμάτων ασφαλείας. Οι προηγούμενες εταιρείες του, ήταν η K-Ότικ και η FrSIRT, που δημοσίευαν τα bug που ανακάλυπταν στο κοινό. Αυτό άλλαξε βέβαια με την ίδρυσή της VUPEN το όνομα της οποίας σημαίνει “έρευνα ευπάθειας“ και “δοκιμές διείσδυσης“.
Η VUPEN δεν είναι η μόνη στο παιχνίδι του exploit-selling. Υπάρχουν και άλλες εταιρείες που αγοράζουν και πωλούν hacking τεχνικές, συμπεριλαμβανομένων και των Netragard, Endgame , Northrop Grumman και Raytheon.
Το άρθρο δημοσιεύθηκε στο Forbes,
