Companiile platesc hackerii pentru dezvaluirea bug-urilor
Companiile din Silicon Valley au început să concureze cu piețele negre pentru hackerii care detectează vulnerabilități software.
Companiile precum Google, Facebook și Mozilla au început să ofere recompense pentru bug-urile detectate de către hackeri, cu sume de până la câteva mii de dolari. Totuși, experții avertizează că infractorii plătesc sume de zece ori mai mari, iar pentru a ține pasul cu ofertele acestora, companiile vor fi nevoite să dea mai mulți bani, scrie Security InfoWatch.
,, Traiectoria pe care ne aflăm nu este deloc sustenabilă. Nu va exista nicio persoană care să nu aibă calculatorul compromis dacă acest lucru continuă”, a spus Vikram Phatak, director NSS Labs, o firmă de securitate care susține că hackerii trebuie să fie plătiți cu sume mai mari de bani.
NSS Labs a propus crearea unui program centrazilat, în care companiile cu multe bug-uri să plătească cel puțin la fel de mulți bani precum infractorii de pe piața neagră pentru vulnerabilitățile de tip zero-day, care sunt descoperite des, însă sunt necunoscute. Acele vulnerabilități pot costa și 300.000 de dolari, potrivit unui studiu al companiei Rand, însă unii experți le-au evaluat și la suma de un milion de dolari.
Totuși, propunerea NSS Labs a primit critici, inclusiv din patea companiei Adobe, care anul trecut a fost victima unui atac în care au fost furate 38 de milioane de parole ale utilizatorilor. Potrivit purtătorului de cuvânt al companiei, Adobe lucrează cu clienții și cercetătorii din domeniul securității pentru a descoperi vulnerabilități.
Printre alte companii care nu ar oferi recompense se află Apple, Cisco Systems și Oracle, al cărei software Java a fost criticat timp de ani de zile pentru bug-urile care fac din acesta o țintă ușoară pentru hackeri.
Companiile care plătesc recompense au mărit sumele recent, însă nu sunt la fel de mari precum cele oferite pe piața neagră cibernetică.
Spre exemplu, anul trecut Yahoo a fost ridiculizată atunci când firma de securitate High-Tech Bridge a descoperit o vulnerabilitate în software-ul său. Yahoo a ales să ofere drept recompensă un discount de 12,5 dolari pentru tricouri și alte produse din magazinul companiei. După ce High-Tech Bridge a spus că acest lucru ,,este o glumă proastă și nu va motiva oamenii să raporteze vulnerabilități de securitate”, Yahoo a crescut recompensele la suma de 15.000 de dolari.
În luna septembrie a acestui an, Google a început să ofere 15.000 de dolari pentru vulnerabilități ,,obișnuite” – de trei ori mai mult decât plătea înainte – în timp ce a spus că o dezvăluire impresionantă a unui bug a adus persoanei care l-a raportat 30.000 de dolari.
Facebook spune că recompensa medie este puțin peste 2.000 de dolari, însă cineva care a descoperit un bug important a fost plătit cu 33.500 de dolari. După o perioadă lungă de împotrivire, și Microsoft a început să ofere recompense până la 100.000 de dolari.
Compania Synack, fondată în 2013 de doi foști agenți ai NSA, au o abordare diferită pentru descoperirea vulnerabilităților. În loc să recruteze hackeri, compania plătește recompense de până la 5.000 de dolari unei echipe de specialiști în securitate, academicieni și membri ai guvernului, a explicat vicepreședintele Synack, Gus Anagnos, care nu a comentat zvonurile legate de colaborarea firmei cu angajați NSA.
Potrivit unor rapoarte, alte companii ar vinde vulnerabilități zero-day pe care le dezvăluie agențiilor guvernamentale și militare, care le folosesc pentru a dezvolta programe prin care se pot infiltra în calculatoarele adversarilor.
Deși mai multe agenții guvernamentale americane, printre care și NSA, au refuzat să comenteze, un raport din 2013 realizat de un grup de consilieri prezidențiali a relevat faptul că ,,în situații rare, politica Statelor Unite poate autoriza folosirea unei vulnerabilități zero day pentru colectarea informațiilor de înaltă prioritate.”
Criticii susțin că SUA și alte autorități nu corectează aceste vulnerabilități și expun publicul la un pericol foarte mare, iar achiziționarea acestor vulnerabilități de către diverse state ajută piața neagră. ,,Acțiunile guvernelor mondiale a crescut probabilitatea ca hackerii să vândă aceste vulnerabilități, iar noi să rămânem vulnerabili”, a spus Bruce Schneier, expert în securitate.
Descoperirea acestor vulnerabilități nu este ușoară, chiar și pentru companiile care proiectează software-urile respective. Acest lucru este cauzat de faptul că ,,atunci când masteranzii în știința calculatoarelor învață despre coduri, nu învață și despre vulnerabilitățile de securitate”, a spus Lillian Ablon, autor al studiului Rand. Până când se va schimba acest lucru, experții consideră că plătirea hackerilor pentru descoperirea vulnerabilităților are sens.
,, Atât timp cât avem software, vom avea probleme. Cu mai mulți ochi fixați asupra acestora, le putem rezolva mult mai rapid, un lucru foarte bun pentru consumatori”, a spus Robert Capps, reprezentant al firmei de securitate RedSeal Networks.