Z ranljivostmi se živahno trguje

Mnogokrat pišemo o tako imenovanih zero day ranljivostih programov, pri čemer se vedno obregamo na urnost proizvajalcev pri pripravi popravkov, redko pa se govori o ekonomski vrednosti teh ranljivosti. Kot so pokazali zadnji napadi, so zero day ranljivosti dragocene tako za napadalce kot tudi obrambo.

Kot pišejo v zanimivem članku na Net Security, je treba za odkritje kakšne kvalitetne luknje žrtvovati približno tri mesece trdega dela hekerjev. Ti zato na podzemnih trgih ranljivosti, ki so se razcveteli v zadnjem času, zanje zahtevajo več sto tisoč dolarjev. Na njih so poleg zlikovcev dejavne tudi vladne agencije, ki lahko cene navijejo tudi milijona dolarjev. Obstaja pa še beli trg, kjer sodelujejo podjetja, kot so VeriSign, TippingPoint in Google, ki kupujejo zero day ranljivosti z namenom pokrpati svoje izdelke, preden lahko napadalci povzročijo resno škodo.

Na splošno velika podjetja nerada plačujejo. Microsoft je znan po tem, da za javljene ranljivosti ne plača nič, ker da to ne bi podpiralo skupnostnega pristopa k varovanju strank prek kiberkriminalom. Google in Mozilla na primer nudita skromnih 500 dolarjev za odkrite hrošče in ranljivosti.