Ranljivosti v Linuxu za pol milijona dolarjev, v iOS za poldrugi milijon
Matej Huš
30. jun 2018 ob 12:35:45
Čeprav številni proizvajalci programske opreme ponujajo nagrade za odkrite in prijavljene ranljivosti, pa lahko sposobni strokovnjaki zaslužijo bistveno več, če odkritih lukenj ne prijavijo proizvajalcu ali obešajo na veliki zvon, temveč jih prodajo specializiranim podjetjem, ki trgujejo z njimi. Eno najbolj znanih je Zerodium, ki ga je ustanovil francoski strokovnjak Chaouki Bekrar. Pred tem je bil ustanovil tudi skupino VUPEN, ki je bila znana kot eden najuspešnejših udeležencev hekerskih tekmovanj, kot je Pwn2Own, in kot velik preprodajalec ranljivosti različnim državnim službam po celem svet. Zerodium redno odkupuje ranljivosti po visokih cenah, občasno pa objavi posebno akcijo, kadar potrebuje ranljivost za točno določen sistem.
To pot ponujajo pol milijona dolarjev nagrade za prvenstveno odkrite (zero-day) ranljivosti v Unixovih operacijskih sistemih (OpenBSD, FreeBSD in NetBSD) ter v več distribucijah Linuxa (Ubuntu, CentOS, Debian, Tails). Višina nadomestila je odvisna od resnosti ranljivosti. Preprosta eskalacija privilegijev v Linuxu prinese do 30.000 dolarjev, če pa je luknja v jedru oziroma kako drugače zadeva vse distribucije, gre tudi do 100.000 dolarjev. Luknje, ki omogočajo oddaljeno izvajanje kode na Linuxu, pa prinesejo do 500.000 dolarjev. Še višje so cene nekaterih ranljivosti v iPhonu, kjer lahko zaslužimo tudi poldrugi milijon dolarjev.
Chaouki Bekrar je pojasnil, da so cene odvisne od tržnega deleža platforme, ki je zlomljena. To pomeni, da je namiznih računalnikih luknja v Windows dragocenejša kot v Linuxu, za strežnike pa velja obratno. Še vedno so najdragocenejše luknje v mobilnih napravah. Zerodium ima vedno dve ali tri ranljivosti za katerokoli priljubljeno platformo, ki jih prodajajo zainteresiranim kupcem, ves čas pa so na preži za novimi. Ker niso dobrodelna ustanova, je logično sklepati, da z milijonsko ranljivosti iztržijo še bistveno več. Različne države so namreč zelo zainteresirane za informacije o teh ranljivostih, ki so jih pripravljene zelo drago plačati. Zato so programi prijavljanja ranljivosti proizvajalcem (bug bounty), kjer lahko v najboljšem primeru računamo na nekaj tisoč dolarjev, relevantni samo za zelo poštene in načelne, predvsem pa preskrbljene hekerje.