Czarny rynek luk w systemach. Ile kosztuje złamanie zabezpieczeń Apple?
Amerykański rząd zapłacił wysoką cenę za "złamanie" zabezpieczeń iPhone'a należącego do terrorysty z San Bernardino. Z różnych wypowiedzi dyrektora FBI Jamesa Comeya, można wnioskować, że cena wyniosła co najmniej 1,3 mln dol.
Złamanie zabezpieczeń iPhone'a należącego do zamachowca z San Bernardino to dowód na to, że istnieje swojego rodzaju czarny rynek, na którym towarem jest umiejętność znajdywania i wykorzystywania luk w zabezpieczeniach urządzeń i systemów.
Luki w zabezpieczeniach systemów
Temat luk, a dokładnie "exploitów zero-day" jak nazywa je branża, poruszył Ivan Krstic, wysoko postawiony inżynier Apple zajmujący się bezpieczeństwem. "Zero-day" to określenie na lukę, podatność systemu, o której informacja trafia na czarny rynek przed publikacją poprawki przez producenta.
Zdaniem Ivana Krstica, dokładne zmierzenie skali tego rynku jest niemożliwe, dlatego posłużył się mniej bezpośrednimi wskaźnikami - cenami za wykorzystanie danej luki w systemie.
- Zapewne wiecie, że istnieje czarny rynek dla podatności systemowych. Co jakiś czas ujawniane są ceny poszczególnych usług. Te wynoszą zwykle kilkadziesiąt tysięcy dol., czasem ok. 100 tys. dol. - powiedział Krstic.
To ceny oferowane za podatności w systemach Windows od Microsoftu czy Android od Google. Ceny za luki w sprzętach Apple są znacznie wyższe, bo firma oferuje wyższej jakości systemy bezpieczeństwa, niż konkurencja.
Krstic wymienił dwa przypadki - raz w 2013 r. informacja o podatności kosztowała pół miliona dol., innym razem milion dol.
- Oczywiście te liczby należy brać z przymrużeniem oka, jednak to fascynujące, gdy się o tym dłużej pomyśli - powiedział Krstic.
Jednym ze sposobów firm na walkę z tym problemem są tzw. "bug bounties", czyli nagrody dla tych, którzy wykryją lukę i poinformują o tym producenta, zamiast sprzedać tę informację na czarnym rynku. System nagradzania stosują Microsoft, Facebook i Google, ale nie Apple.
Przypuszczalnie dlatego, że Apple nie widzi powodu, by takie nagrody oferować, skoro ma renomę najlepiej zabezpieczonego. Ponadto firma o tak wysokim profilu nie musi do tego zachęcać, bo użytkownicy o dużej wiedzy technicznej sami wysyłają informacje o lukach w systemie. W takich przypadkach Apple publicznie przyznaje kto to zrobił, co jest dobrą oceną dla jego wiarygodności i umiejętności w branży cyberbezpieczeństwa.