Държавни хакери

Разследване на тези "офанзивни" компании, специализирани в откриването на компютърни уязвимости, които продават своите открития на официални органи.

държавни

Публикувано на 19 февруари 2013 г. в 13:38 ч. - Актуализирано на 24 февруари 2013 г. в 10:05 ч.

Време за четене 7 мин.

  • Споделяне
  • Споделянето е деактивирано Споделянето е деактивирано
  • Споделянето е деактивирано Изпращане по имейл
  • Споделянето е деактивирано Споделянето е деактивирано
  • Споделянето е деактивирано Споделянето е деактивирано

В два реда вътрешен жаргон Vupen обяви в Twitter на 30 октомври 2012 г. в 14:16 ч., Че е открил безпрецедентни уязвимости в сигурността в Windows 8. Microsoft току-що пусна тази нова операционна система за компютри, телефони и таблети. Благодарение на откриването на тази "уязвимост", Vupen или друг екип ще може да създаде атакуващ софтуер, способен да поеме дистанционно управление на устройство, оборудвано с Windows 8.

Тази френска компания, базирана в Монпелие, е известна в света на ИТ сигурността. През март 2011 г., по време на хакерски конкурс, организиран от конференцията CanSecWest във Ванкувър (Канада), Vupen спечели награда, като пое контрола върху Macintosh благодарение на недостатък в браузъра Safari. По това време шефът на компанията Чауки Бекрар каза пред списание Zdnet, че атаката е неудържима: "Жертвата посещава уеб страница и тя е в капан. Не е необходимо по-нататъшно взаимодействие."

През 2012 г. Vupen отново спечели състезанието във Ванкувър, като направи две демонстрации за хакване на браузъри - Chrome от Google и Explorer 9 от Microsoft. По това време Google предлагаше бонус от $ 60 000 на всеки, който е успял в атака срещу Chrome, при условие че той му е дал инструкциите. Чауки Бекрар обаче предизвика скандал, като отказа офертата на Google. Според американската преса той би декларирал, че никога няма да се занимава с Google, защото е запазил този тип находки за своите клиенти, които плащат много повече. Google отговори, като го нарече "опортюнист, лишен от морален усет".

Кои са клиентите на компании като Vupen? Когато хакер открие метод за проникване в компютър, той трябва да информира издателя на софтуер или компания за сигурност, която ще провери валидността на експлоата и ще създаде заобиколно решение. Дълго време издателите печелеха от това произведение безплатно, но през 2000-те американските хакери започнаха движение за искане на възнаграждение. Днес десетки издатели, сайтове и телекомуникационни компании публикуват изкупните цени на своите уязвимости - от 100 до 20 000 долара, в зависимост от сложността и оригиналността.

ШПИОНИРАНЕ И КРАЖБА НА ДАННИ

И все пак няколко компании са избрали по-доходоносен пазар: „офанзивна сигурност“ - евфемизъм за шпионаж или кражба на данни. Вместо да се занимават с издатели, те продават своите констатации на офериращия, който често е на официални органи - полицията, военните, тайните служби - които ги използват за издирване на престъпници, наблюдение на бизнеса и чуждестранни правителства или на собствените си граждани.

Някои страни са се снабдили с инструменти, способни да саботират сървъри, какъвто беше случаят през 2010 г. с нападението на ирански завод за обогатяване на уран от вируса Stuxnet, създаден без съмнение от САЩ и Израел. Следователно те трябва постоянно да са наясно с безпрецедентни недостатъци в софтуера, използван в мрежите. За това те се обръщат към частния сектор.

В Съединените щати производители на оръжия като Raytheon и Northrop Grumman са открили отдели за "нападателна компютърна сигурност". В същото време няколко американски компании са се специализирали в тази дейност. Най-известната е базираната в Маями Бийч имунитет, която всяка година е домакин на конференция, наречена „Проникване“. Имунитетът популяризира няколко софтуерни пакета, които предлагат голямо разнообразие от методи за проникване, включително създаването на фалшиви затворени сайтове, които приличат на Amazon, eBay, LinkedIn или Hotmail.

Виждали сме и появата на брокери, които купуват уязвимости в сигурността, открити от независими, и ги продават на най-офериращия. Сред най-високо оценените - Netragard в Масачузетс или The Grugq, южноафриканец, живеещ в Банкок, който може да се похвали със стотици хиляди долари годишно.