SIKKERHET

Kraftig prisøkning: Betaler millioner av dollar for visse nulldagssårbarheter

Lukrativt for «black hats».

Noen sikkerhetsforskere lar seg lokke til å selge sårbarhetene de finner til andre enn den berørte leverandøren.
Noen sikkerhetsforskere lar seg lokke til å selge sårbarhetene de finner til andre enn den berørte leverandøren. Foto: Colourbox/Maksim Shmeljov
Harald BrombachHarald BrombachNyhetsleder
8. jan. 2019 - 20:00

Det finnes selskaper globalt som relativt åpent kjøper og selger nulldagssårbarheter, altså nyoppdagede sårbarheter i program- eller maskinvare, som fortsatt ikke kan fjernes med en sikkerhetsfiks fra leverandøren.

Selv om også kjente sårbarheter ofte kan utnyttes, fordi mange er trege med å installere sikkerhetsoppdateringen, er sannsynligheten for å lykkes svært mye høyere dersom en kan utnytte en sårbarhet som svært få andre kjenner til. Mange er villige til å betale store penger for slikt. 

Millioner av dollar

Ars Technica skriver nå at prisene på nulldagssårbarheter har steget kraftig i det siste. Det vises til dusørprogrammet til det amerikanske selskapet Zerodium. Nå på nyåret har selskapet økt dusørene kraftig. I noen tilfeller har dusørene blitt mer enn doblet siden i fjor. 

Dusørene som utloves, er svært høye – langt høyere enn det som loves i dusørprogrammene til leverandørene selv. Øverst på listen troner vedvarende fjern-jailbreaking uten brukerinnvirkning («zero click»). For slike fungerende angrepsteknikker betaler Zerodium to millioner dollar, mot 1,5 millioner i fjor. Hvor mye selskapet selger dette videre for, er uvisst. 

Mulighet for inntrengning i iOS-enheter er tydeligvis attraktivt, for også den nest høyeste dusøren gjelder dette operativsystemet. For en tilsvarende teknikk som nevnt over, men hvor det kreves ett klikk fra brukeren for å få det til, betaler Zerodium 1,5 millioner dollar, opp en halv million siden i fjor. 

Vanskeligere?

Zerodium betaler solide dusører også for nulldagssårbarheter i andre systemer. Blant annet har dusøren for nulldagssårbarheter som åpner for fjernkjøring av kode i Windows eller via meldingstjenester som WhatsApp, iMessage eller SMS/MMS-apper, blitt økt fra 500 tusen til 1 million dollar. 

Til Ars Technica sier Patrick Wardle, en tidligere NSA-hacker som i dag er medeier i et privat sikkerhetsselskap, at det er to mulige årsaker til prisøkningen. Det ene er at det har blitt vanskeligere å finne fungerende nulldagssårbarheter. Det andre er at etterspørselen etter angrepskode for nulldagssårbarheter er økende. 

Det er nemlig slik at kundene til selskaper som Zerodium ofte ønsker eksklusiv tilgang til nulldagssårbarhetene, blant annet for å unngå at de selv blir angrepet på samme måte. Dermed kan sårbarheten bare selges én gang.

– Dette bør fortsatt være en vekker som får selskaper til å innse at det er nødvendig å ha et omfattende dusørprogram, sier Wardle til Ars Technica. 

Gammel traver

Bak Zerodium står Chaouki Bekrar, som i 2004 etablerte det franske selskapet Vupen. Dette selskapet ble nedlagt like før Zerodium ble etablert i 2015. Tidligere har det blitt avslørt at NSA og tyske Bundesamt für Sicherheit in der Informationstechnik (BSI) var kunder av Vupen. 

Kundelisten til Zerodium er ikke kjent, men selskapet oppgir at det har et svært begrenset antall kunder, i hovedsak offentlige etater med offensive og/eller defensive behov.

Tidligere eksempel: Skal ha fått til fjern-jailbreaking av iOS 9

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.