Americká vláda je najväčším nákupcom exploitov, tvrdí Reuters

 

Viacerí oslovení experti túto stratégiu kritizujú, keď informácie o chybách by sa mali podľa nich používať aj na lepšie zabezpečenie amerických sietí a spoločností. Aj pri exkluzívnom nákupe informácií o chybe totiž táto môže byť zároveň nezávisle objavená iným expertami, respektíve ciele útoku USA môžu chybu identifikovať po analýze útokov proti nim. 

 To sa podľa Reuters stalo už minimálne v prípade škodlivého kódu Duqu určeného pre útoky na Irán, keď hackeri získali informácie o zneužívanej chyby jeho analyzovaním a následne tieto informácie využili na útoky samozrejme aj na ciele v USA. 

 USA oficiálne ofenzívne počítačové útoky nepriznávajú, v júni minulého roka ale boli novinami The New York Times zverejnené presvedčivé informácie o vývoji a použití červa Stuxnet americkou vládou v spolupráci s Izraelom. Červ infikoval počítače riadiace centrifúgy v továrni na obohacovanie uránu v iránskom meste Natanz a postupne fyzicky ničil niektoré ich časti tým, že ich roztáčal príliš vysokými rýchlosťami. 

 Aktuálne informácie Reuters zároveň naznačovala aj minuloročná informácia magazínu Forbes, podľa ktorého dodávateľ vlády Spojených štátov amerických kúpil exploit a informácie o novej bezpečnostnej chybe v operačnom systéme iOS za až 250 tisíc dolárov. 

 Podľa Reuters je štartovacia cena za 0-day chyby 50 tisíc dolárov, pričom cena závisí od viacerých faktorov.
Podľa minuloročných informácií Forbes vychádzajúcich z informácií spotredkovateľa podobných obchodov medzi autormi exploitov a nákupcami boli v minulom roku najhodnotnejšie exploity a chyby v iOS, ktorých cena sa pohybuje od 100 do 250 tisíc dolárov. Za exploity proti Chrome a Internet Exploreru sa platí od 80 do 200 tisíc, vo Firefoxe a Safari od 60 do 150 tisíc, vo Windows od 60 do 120 tisíc. 

 {googleads none}

Za exploit účinný proti Wordu sa platilo v minulom roku 50 až 100 tisíc, vo Flash a Java pluginoch od 40 do 100 tisíc, v Androide od 30 do 60 tisíc, v Mac OS X od 20 do 50 tisíc a v Adobe Readeri od 5 do 30 tisíc dolárov. 

 Týmto komerčným cenám sa nevyrovnávajú odmeny za informácie o chybách ponúkané samotnými tvorcami softvéru ani odmeny ponúkané bezpečnostnými spoločnosťami. Viaceré významné softvérové spoločnosti vrátane Microsoftu, Apple a Adobe za informácie o vážnych chybách v ich produktoch neplatia, ostatné platia štandardné odmeny vo výške maximálne niekoľkých tisíc dolárov. 

 Bezpečnostné spoločnosti vyplácajú za exkluzívne informácie o chybách, ktoré následne nahlasujú tvorcom softvéru, poskytujú vo svojich bezpečnostných produktoch ako prví ochranu proti exploitom útočiacim na tieto chyby a budujú si tým reputáciu a značku, podľa minuloročných informácií rádovo desať tisíc dolárov.  DSL.sk