Hackeři našli nový byznys, prodávají bezpečnostní díry špiónům

Jak se trefně říká, informace jsou moc. Bylo to tak vždy, už v dobách, kdy informací a vědomostí mělo lidstvo mnohem méně než dnes. I před stovkami let, a dost možná i před tisíci, mohla znalost jednoho důležitého detailu rozhodovat o vítězství a prohře. A samozřejmě také o holém přežití.

Dnes a denně dokazují nejrůznější mediální úniky, kauzy WikiLeaks a PRISM a Flame, že informace ze své moci neztratily vůbec nic. Samozřejmě, v naší části světa se obvykle nehraje o holé přežití. To je obvykle tak nějak zajištěné pro všechny. Přesto ale asi budete souhlasit, že v dnešním světě moderních informačních technologií je držení těch správných informací ještě důležitější, než kdy dřív.

Předehra? Stuxnet

Když se před lety objevil červ Stuxnet, který poškodil centrifugy v íránských jaderných elektrárnách, ukázalo se také, jak mocnou zbraní dokáže být nečekaný útok přes počítačové systémy. Právě Stuxnet, jako první kyberútočná zbraň svého druhu, do té doby vůbec nejpropracovanější, naznačil, jakým směrem se bude ubírat budoucnost.

A všimli si toho samozřejmě i někteří bystří profesionálové. Ti (i) díky Stuxnetu pochopili, že hudbou budoucnosti se stane bezpečnost informačních systémů. Kdo se dokáže dostat do systému svého protivníka, bude vědět víc než on. To může poskytnout nemalou výhodu.

Neznámé bezpečnostní chyby jsou horké zboží

V oboru počítačové bezpečnosti je velmi důležitý termín „zero day exploit“. Netřeba se přitom na první pohled složitého názvu obávat. Exploit není nic jiného, než software, který využívá bezpečnostní díry v určité aplikaci. „Zero day“ pak označuje, jak dlouhou dobu měli developeři, kteří se o aplikaci starají, na oprav utéto díry. Tedy na vytvoření tzv. záplaty. Patche. V případě zero day exploitu měli tedy nula dní.

Terminologie je to možná trochu složitá a zavádějící, a pro laika neuchopitelná. V principu ale nejde o nic jiného, než že tvůrce aplikace a její uživatelé o bezpečnostní díře a ji využívajícím exploitu prozatím neví. Zero day exploit tedy vlastně znamená postup využívající bezpečnostní díry, o které tvůrce aplikace ani odborná veřejnost ještě netuší.

Stuxnet nebyl rozhodně první, kdo s exploity přezdívanými také zkratkou „0-days“ pracoval. Jeho hlavní silnou zbraní byl počet využívaných exploitů. Běžní hackeři 0-days využívají sporadicky. Důvodem je jednoduše to, že není tak úplně snadné na nějaký samostatně přijít, a dozvědět se o něm jinak může přijít i velmi draho

Čím víc, tím líp. Nebo ne?

Řadový hacker tak zero day exploity nepoužívá obvykle vůbec. V krajním případě, pokud je na relativně vysoké úrovni a může se mu to vyplatit, použije jeden. Stuxnet používal jen k šíření na počítačích s Windows hned 4 zero day exploity, což bylo velmi velmi neobvyklé. Dalších do té doby neznámých bezpečnostních děr používal k infekci industriálních systémů a dalšího specifického hardwaru.

Mimochodem, právě kvůli nezvyklému množství využitých 0-days exploitů se dovozovalo, že za Stuxnetem musela stát podpora nějakého národního státu. To sem ale tak úplně nepatří.

Opusťme proto nyní Stuxnet, který by si zasloužil i další pozornost (například kvůli aktuálnímu vývoji ve věci, kdy se Írán chystá k mezinárodní žalobě na Spojené státy), a pojďme se věnovat hlavnímu tématu tohoto článku. Obchodování se zero day exploity, rychle rostoucímu odvětví, které se po aféře kolem Stuxnetu začalo formovat v nezvyklé síle. A přes svůj až špionážní charakter i poněkud překvapivé otevřenosti.

150 tisíc dolarů za chybu, někdy i půl milionu

Obchodování s exploity totiž není nelegální, jak by se snad dalo, a poměrně logicky, očekávat. A nejen to, skutečnost jde ještě dál. Velkou část poptávajících totiž tvoří na tomhle trhu orgány a instituce národních států. Samozřejmě, jak jinak, se Spojenými státy v čele. I proto není pravděpodobné, že by v brzké době mělo k omezení obchodování dojít. Právě orgány států jsou totiž těmi, kdo jsou na trhu vůbec nejaktivnější.

„Vlády si začínají říkat, ‚Abych lépe ochránil svou zemí, musím najít slabá místa ostatních zemí,'“ komentoval situaci pro New York Times, které během víkendu přinesly její rozsáhlou analýzu, Howard Schmidt, bývalý bezpečnostní koordinátor Bílého domu. „Problémem je, že se v důsledku všichni stanou méně bezpečnými.“

Ceny exploitů se podle ní pohybují v řádu 35 až 160 tisíc dolarů v případě těch „obyčejnějších“. Důležité exploity ovšem mohou mít i vyšší cenu. Například jeden exploit pro napadení iOS se podle zdrojů Times v minulosti prodal za rovný půl milion dolarů.

Spojené státy, Malajsie, Singapur..

Vyvstává samozřejmá otázka. Jaké země se trhu účastní? Překvapením nejsou již zmíněné Spojené státy. U těch člověk nemusí být zrovna geniální, aby mu to po aférách nejen se Stuxnetem, ale i trojany Duqu a Flame došlo. Kromě nich to pak jsou především Brazílie, Izrael, Velká Británie, Rusko a Indie.

Účastní se samozřejmě i Severní Korea a Írán. Země, které jsou ve všudypřítomné kyberválce jasným cílem západu, a tak i kdyby snad nechtěli, nemají tak úplně na výběr. V roli nakupujících potom vystupují i méně očekávatelné státy, třeba Malajsie nebo Singapur.

Trh je vskutku velmi rozsáhlý. Důkazem budiž, že na něm vznikají i obchodní zprostředkovatelé. Ti pro své klienty, o kterých se samozřejmě nahlas nemluví, shání od specializovaných firem předem jasně definované exploity. Může přijít třeba poptávka po tzv. code execution exploitu, exploitu pro spuštění kódu na přístrojích Windows, iOS a Android. To je mimochodem poměrně zásadní typ, code execution exploit je totiž nepostradatelný pro instalaci jakéhokoliv malwaru na cílové zařízení.

Odměny za bugy se zvyšují, stále ale nestačí

Pokud oslovený exploit má, jedná se dále o ceně. Je-li obchod uzavřen, zprostředkovatel dostane za dohození obchodu z ceny prodaného exploitu provizi. Pro nakupujícího je to výhodné proto, protože prodejce nezná jeho identitu. Zná pouze svého zprostředkovatele. Účastnit se trochu je tak pro nakupující mnohem bezpečnější.

Trh s exploity pravděpodobně existuje již delší dobu. Nikdy ale neprobíhal v takovém objemu, jako dnes. Praxe prodeje exploitů postupně vystřídala situaci, která prý panovala ještě před nějakými deseti lety. Tehdy hackeři ne zcela výjimečně oznamovali zjištěné nedostatky tvůrcům softwaru i zdarma. Dnes? Zdarma samozřejmě nepřichází v úvahu. Ceny jsou vysoké.

Technologickým společnostem proto nezbývá, než postupně zvyšovat odměny, které za oznámení bezpečnostní díry nabízí. Je tomu teprve několik týdnů, co Facebook udělil svou historicky nejvyšší odměnu, 20 tisíc dolarů, za oznámení bezpečnostní díry umožňující ukrást libovolnému uživateli účet. Konkurenční Microsoft zase zavedl svůj nový bug bounty program v červnu. V jeho rámci mohou oznamovatelé získat až 100 tisíc dolarů. Dalších 50 tisíc je čeká navrch navrch, pokud rovnou přijdou i s obranným mechanismem.

Cenám, za které lze prodat nové a inovativní exploity těm, kdo je chtějí ani ne tak opravit, jako využít, se přesto nabízené odměny nevyrovnají. Cílem odměn ovšem není (a ani dost dobře nemůže být) konkurovat tomuto trhu. Cíl je mnohem skromnější a prozaičtější – nabídnutím odměny se razantně zvyšuje šance, že se přece jen někdo, kdo nedostatky oznámí, v rozumném čase objeví. Třeba to nebude ten první, kdo je objeví, to ale nevadí. Přesto se tím snižuje potenciální životnost exploitů, a tedy také jejich hodnota pro nakupující. A nebuďme zase příliš skeptičtí, i dnes část oznamovatelů na bugy upozorní z morálních důvodů. Takových je ale, zdá se, i díky rostoucím cenám čím dál tím méně.

Chybět nesmí NSA

Jedním z těch, kdo se trhu účastní ve zvýšené míře, je americká NSA, Národní bezpečnostní agentura. Potvrzuje to i nedávná zpráva od Bloombergu. Podle ní s NSA a dalšími americkými úřady spolupracoval v oblasti zero day exploitů například i Microsoft. Ten je prý, spolu s dalšími společnostmi, zásoboval nově zjištěnými nedostatky ještě předtím, než je v rámci patchů opravil.

Situace se samozřejmě dá interpretovat různě. Například tak, že informace o exploitech nemusí být nutně využity jako zbraň, ale může sloužit i k obraně. Jenomže, ruku na srdce. Kdo by Spojeným státům po vysoce sofistikovaných trojanech Stuxnet, Duqu a Flame věřil, že k útočným účelům skutečně exploity nevyužívají? Indicií o tom, že americké orgány měly na těchto útocích svůj podíl, totiž existuje bezpočet.

Celou pravdu se o metodách amerických tajných a bezpečnostních služeb samozřejmě asi nikdy nedozvíme. I střípky, které sem tam uniknou do médií, ale skládají velmi zajímavý obrázek.