Cene za ranljivosti v programski opremi rastejo

Podjetje Zerodium, ki se ukvarja z iskanjem, nakupovanjem in prodajo ranljivosti v programski opremi, je včeraj znatno povišalo cene, po katerih je pripravljeno odkupiti ranljivosti v različni programski opremi. Nekateri to vidijo kot znak, da postaja programska oprema čedalje varnejša in da so ranljivosti čedalje redkejše, drugi pa se bojijo, da to kaže na povečano povpraševanje po ranljivostih s strani državnih agencij.

Zerodium je ustanovil francoski strokovnjak za računalniško varnost Chaouki Bekrar, ki je bil pred tem ustanovil tudi skupino VUPEN, ki je bila znana kot eden najbolj plodnih udeležencev hekerskih tekmovanj, kot je Pwn2Own. VUPEN je odkrite ranljivosti tudi prodajal, isto pa sedaj počne v ZDA ustanovljen Zerodium. Bekrar sicer zatrjuje, da ranljivosti prodajajo samo preverjenim strankam, ki so v glavnem velika podjetja in državne agencije iz Severne Amerike in Evrope, a tega ni mogoče preveriti. Septembra 2015 so objavili prvi seznam ranljivosti, ki jih odkupujejo, ta pa se je včeraj izdatno razširil in podražil.

Še vedno največ ponujajo za ranljivost, ki omogoča odklep telefona z iOS brez posredovanja uporabnika - 1,5 milijona dolarjev. Če je potrebna uporabniška interakcija, je ranljivost vredna milijon dolarjev. So se pa na seznamu na novo znašla orodja za varno komuniciranje, kot so Signal, WhatsApp, Viber, Telegram itd. Zerodium za ranljivosti v teh programih ponuja 500.000 dolarjev. Pomembna novost so tudi napadi na baseband (koda za komunikacijo telefona z omrežjem), ki so vredni 150.000 dolarjev. Strokovnjaki opozarjajo, da dvig cen ranljivosti v mobilni programski opremi nakazuje na povečanje povpraševanja po njih. Ker ljudje čedalje več uporabljajo mobilne telefone za komunikacijo, je logično tudi želja po lomljenju zaščit večja.

Veliko ponujajo tudi za napade na klasične operacijske sisteme. Ranljivost v Windows 10 je vredna 300.000 dolarjev, v Chromu 150.000 dolarjev, v TOR-u do 100.000 dolarjev itd. Zanimivo je, da so vse te vrednosti precej višje od nagrad, ki jih za prijavljene hrošče in ranljivosti ponujajo proizvajalci (bug bounty). Med njimi sicer obstoji pomembna razlika, saj proizvajalci nagradijo že koncept, medtem ko Zerodium odkupuje v glavnem polno funkcionalne izdelke, ki izkoriščajo dano ranljivost. A dejstvo ostaja, da so ranljivosti velikanski posel, ki se ga gredo vsi od zasebnega sektorja do obveščevalnih agencij.