Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

Letos je v Vancouvru na tekmovanju Pwn2Own zelo hitro padel Googlov brskalnik Chrome, ki je bil lani edini nedotaknjen. Razbila ga je francoska skupina hekerjev oziroma raziskovalcev iz podjetja VUPEN, ki ima z Googlom in ostalimi proizvajalci programske opreme precej zapleten odnos. Ko so na primer lani maja objavili napad na Chrome, ki je omogočil poganjanje poljubne izvršljive kode, Googlu ali kam drugam na splet niso posredovali podrobnosti o napadu. Google je tedaj odvrnil, da gre za luknjo v vtičniku za Flashu in da to v resnici "ni njihov problem", na kar je VUPEN odgovoril, da pa je vseeno problem za uporabnike, saj je Flash luknja delovala na privzeti različici Chroma z že vključenim Flashem.

VUPEN je resda francosko varnostno podjetje, a njegov poslovni model je na meji zakonitega - ves čas budno pazijo, da na pravi strani meje, kot lahko preberemo v Forbesu. VUPEN namreč z ranljivostmi trguje na sivem trgu in s tem služi težke milijone.

Njihova politika je, da odkritih ranljivosti niti slučajno ne razkrivajo proizvajalcem programske opreme. Ti sicer ponujajo finančno vzpodbudo, a je ta zelo nizka - običajno gre za nekaj deset tisoč dolarjev ali pa še manj. Na črnem trgu, kjer VUPEN sicer ne deluje, cene dosegajo šestmestne zneske, nič kaj drugače pa ni niti na sivem trgu. VUPEN namreč odkrite ranljivosti zadrži za lastne stranke. Te letno plačujejo 100.000 dolarjev samo za naročnino, s čimer dobijo šele pravico, da kupujejo informacije o ranljivostih za bistveno višje zneske. Nato lahko od VUPEN-a odkupijo ranljivosti za želen program, ki jim omogočajo neopazno in večidel nezakonito prisluškovanje in vdiranje. VUPEN-ovi naročniki so po njegovih besedah prozahodne vlade in obveščevalne organizacije, medtem ko tako imenovanim nedemokratičnim režimom podatkov ne prodajajo. Vsak kupec dobi informacije, ki zadostujejo za popolno izkoriščanje ranljivosti, podpisati pa mora pogodbo o nerazkritju tretjim stranem. Kaj se z ranljivostjo zgodi potem, VUPEN-a ne zanima, saj je informacije po prodaji nemogoče nadzorovati. Povsem mogoče je, da pristanejo v napačnih rokah.

VUPEN-ov ustanovitelj in direktor Chaouki Bekrar pojasnjuje, da njihovo podjetje posluje transparentno za razliko od konkurence (Netragard, ENdgame, Northrop Grumman, Raytheon ...), ki je v istem poslu. Kljub temu ni podatkov o prihodkih podjetja in cenah, ki jih ranljivosti dosegajo. Neuradne informacije enega izmed posrednikov, ki povezuje prodajalca s kupci v različnih državah, pričajo o milijonskih zneskih za eno ranljivost. VUPEN se medtem hvalisa, da imajo na zalogi neodkrite in nepoznane ranljivosti za vsak kos priljubljene programske opreme. S tem lahko dobesedno izsiljujejo, saj ceno postavljajo sami. Kupci dobro vedo, da bo ranljivost kupil in zlorabil še kdo drug, zato jo morajo tudi sami, ne glede na ceno.

Bekrar je VUPEN ustanovil leta 2008 in je njegovo tretje podjetje. K-Otik in FrSIRT, ki sta delovala pred tem, sta najdene ranljivosti javno razkrivala. Tako je sprva posloval tudi VUPEN, a so kmalu odkrili, da se da z drugačnim poslovnim modelom zaslužiti precej več denarja. Google javno obsoja Bekrarja kot neetičnega oportunista, medtem ko slednji poudarja, da niso dobrodelna organizacija in da ne garajo zato, da bi olajšali delo multinacionalkam, ki se valjajo v denarju. Raje svoj lonček pristavijo tudi sami.