הכלכלה של הבאגים - מיהם ההאקרים שפורצים את מערכות מיקרוסופט ולמי יותר משתלם להם למכור את המידע? - קופסה שחורה - הבלוג של לביא לזרוביץ - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

הכלכלה של הבאגים - מיהם ההאקרים שפורצים את מערכות מיקרוסופט ולמי יותר משתלם להם למכור את המידע?

מפניות של חברות תוכנה להאקרים כדי שיאתרו חורים באבטחת המידע ניתן ללמוד רבות על פגיעות המערכות בהן אנו משתמשים ועל כמה כסף זורם כדי לפגום בהן ■ סוג אחד של לקוחות שצמאים להכיר את חורי האבטחה הללו ומוכנים לשלם עבור זה, יותר מהחברות עצמן, הוא ממשלות וגופי מודיעין

Peter Kramer /USA Network / אי

חוקר אבטחת מידע יושב ימים ולילות (בעיקר לילות) אל מול מסכי המחשב בביתו וממיר ליטרים של קפה לקטעי קוד. פתאום מתגלה פריצת דרך, הבאג במערכת מתגלה ועכשיו ברור איך גורם עוין עלול לנצל את החולשה הנוצרת על ידי הבאג שהתגלה.

עתה רק נשאר לנקות את הקוד, לקחת כמה צילומי מסך, לתעד את הבאג ואת החולשה ואיך ניתן לנצל אותם. ביום שלמחרת הוא צריך לקבל החלטה לא פשוטה: מי הנמען של המייל שכולל את כל הפרטים וה-POC (Proof Of Concept)? חברת התוכנה שפתחה את התוכנה, שתגמול בסכום נאה אך סמלי כחלק מתוכנית "מטמון באגים" (תרגום גרוע במיוחד ל- bug bounty)?

זו אכן נשמעת האופציה הנכונה, בעיקר לאור העובדה שעל ידי הגשת הפרטים לספקית התוכנה אלפי ואולי מיליוני משתמשים ייהנו מתוכנה בטוחה יותר שתגן על הפרטיות והנתונים שלהם. מצד שני, עומדת בפניו אופציה הרבה יותר רווחית מבחינה כלכלית והרבה פחות מוסרית (בעיקר לחוקרים עצמאיים אבל לא רק)– מכירה לצד שלישי. בדומה לשוק העולמי של אמצעי הלחימה שמאופיין במחירים מרקיעי שחקים ובפעילות חוקית-לא-חוקית, שוק מתקפות אפס ימים (שוב תרגום די מביך של zero days) מאפשר לחוקרים לסחור בחולשות פרי עבודתם ולקבל בתמורה סכומי עתק.

אז מה יבחר אותו צייד באגים (bug hunter)? האם לקחת את הגלולה הכחולה, לשתף פעולה עם ספקיות התוכנה ולהציל את העולם או לקחת את הגלולה האדומה, לשים את היד על כסף גדול ולשתף פעולה עם ממשלות וגופי ביון אפורים? זו שאלה קשה והיא מתעצמת עוד יותר לאור העובדה שהסחר בחולשות עלה מדרגה בשנים האחרונות כאשר יותר כסף ומשאבים החלו לזרום לכיוון תעשיית הנשק של העולם החדש.

איך כל העסק הזה עובד?

ספקיות תוכנה כמו מיקרוסופט ושירותים כמו נטפליקס מפרסמים תוכניות Bug Bounties. התוכנית מאפשרת לחוקרי אבטחת מידע לדעת בדיוק מה הדרישות בהן החוקר נדרש לעמוד במידה ומצא באג בתוכנה. בדרך כלל הדרישות כוללות בין היתר הסכמה לכך שהחוקר לא יפרסם או יחלוק כל פרט אודות הבאג והפגיעות עם אף גורם אחר ללא אישור מפורש ושהחוקר לא ניצל או ינצל לרעה את הפגיעות. בנוסף לכך, התוכניות מציינות לעיתים מה יהיה המענק עבור סוגים שונים של באגים או פגיעויות.

ככל שהבאג או הפגיעות חמורים, משלבים טכנולוגיות מורכבות יותר ומאפשרים לגורם עוין לממש את הפגיעות ללא תלות בפעילות משתמש וללא תלות בגורמי סביבה, כמו הימצאות תוכנות אחרות, כך המענק יהיה גדול יותר.

 תוכנית ה-bug bounty של מיקרוסופט עבור מערכת ההפעלה "חלונות"
מיקרוסופט

הפעלת תוכנית bug bounty כמו זו המוצגת מעלה של מיקרוסופט, היא מרכיב חשוב בחיזוק האבטחה של אפליקציות ושירותים ועצם ההפעלה של תוכנית כזו היא אינדיקציה טובה לכך שהארגון מחויב ופועל לספק תוכנה או שירות ברמת אבטחה גבוהה.

בשנים האחרונות צצו לא מעט תוכניות עם רמות מענקים שונות ועבור טכנולוגיות שונות וסביבות שונות כמו אפליקציות ל-mobile, מערכות הפעלה, אתרים ושירותים שונים. יחד עם העלייה של תכניות אלו הוקמו פלטפורמות, כדוגמת HackerOne שמאפשרות לארגונים לפרסם את התוכניות, ולחוקרים גישה נוחה לתוכניות אלו במקום אחד. כך חוקרים יכולים די בקלות להחליט על איזה תוכנית הם משקיעים את זמנם וארגונים יכולים "ליהנות" משירות בדיקות אבטחה מאלפי חוקרים. באופן אישי, אני מוצא את העסק הזה תחביב מאוד מעניין. כל אחד יכול פשוט להתחיל "לצוד" מעמדת המחשב הקטנה בבית ובבוא העת ליהנות ממענק כספי קטן ומתחושת "Not all heros wear capes" – כי העולם קצת יותר בטוח משהוא היה בזכות המחקר.

הצד האפל

העניין הוא שיש פה כוחות שוק חזקים. זרמים מתחת ומעל לפני השטח שאולי יפילו גם את הישרים ביותר, או יותר נכון יפילו את הכובעים הלבנים ביותר (ראה white hat hackers). ארגונים וממשלות עם הרבה מאוד משאבים ותקציב מוכנים לעשות הרבה כדי לשים את היד על פגיעות חדשה במערכת ההפעלה של מיקרוסופט או במערכת ההפעלה של ה-IPhone.

הפגיעויות במערכות ההפעלה הללו מאפשרות חדירה למחשבים ולמכשירים הניידים וכמובן לכל המידע המאוחסן עליהם – מכרה זהב של מידע אודות יעדים מודיעינים, בכירים בארגוני פשע או מתנגדי משטר. לפני כשנתיים העולם כולו קיבל הצצה לחברה איטלקית בשם HackingTeam שנפרצה על ידי קבוצה העוסקת בהגנה על זכויות אדם ופועלת נגד ארגונים התומכים במשטרים רודניים הפוגעים בזכויות אלו.

HackingTeam פעלה לפתח ולקנות פגיעויות שונות במטרה למכור טכנולוגיות חדירה למכשירים ניידים, מחשבים ורשתות וכפי שהתברר מאוחר יותר, מכרה את הטכנולוגיה לארגונים ומשטרים "אפורים" ונאורים כאחד. קבוצת זכויות האדם פירסמה איך פרצה לרשת של HackingTeam וחשפה בין היתר דו"חות כספיים. הדו"חות חשפו ממשלות וארגונים רבים שהיו מנויים לשירותים של HackingTeam ועל כן קבלו גישה לפגיעויות ולטכנולוגיות הפולשניות.

רשימה חלקית של לקוחות HackingTeam. מצרים, טורקיה וארה"ב היו לקוחות של החברה
צילום מסך מויקיפדיה

המספרים בטבלה, שעלו משמעותית בשנתיים האחרונות, ממחישים את העניין הרב והכסף שמניע את השוק. חוקר שזיהה פגיעות משמעותית ב-iOS, מערכת ההפעלה של המכשירים הניידים של Apple, יחשוב פעמיים אם לחלוק את הממצאים עם Apple (שאינה מתגמלת בהתאם למחירי השוק הנוכחיים של פגיעויות ובאגים) פשוט לאור העבודה שיש אלטרנטיבות קצת יותר מעניינות. בדומה ל-HackingTeam, יש לא מעט חברות העוסקות בפיתוח או קנייה של פגיעויות (גם לא מעט חברות ישראליות). Zerodium למשל, תשלם לא פחות ממיליון וחצי דולר עבור פגיעות במערכת ההפעלה iOS (בגרסה האחרונה) שאינה מחייבת את הקורבן להקליק או לעשות דבר טרם ההדבקה, כלומר כל מה שנדרש לעשות זה "רק" לנצל את הפגיעות.

תשלומים עבור פגיעויות במכשירים ניידים ע"י זירודיום
צילום מסך: זירודיום

אני חייב לציין שאני לא אדם קונספירטיבי מטבעי וקשה לי לא מעט עם נקודות המבט של המראה השחורה על עולמינו החדש, ועדיין קשה שלא להבין מהמספרים והעדויות שהכל בסוף מסתכם בכסף. הכלכלה של הבאגים והפגיעויות מלמדת אותנו לא מעט על אילו מערכות פגיעות יותר או פחות, אילו מערכות נמצאות בשימוש נרחב יותר או פחות וכמה כסף זורם כדי לפגוע באבטחת הטכנולוגיה והמידע בה אנחנו משתמשים. אחרי כל זה, יושב לו החוקר מאחורי לפחות שני מסכים עם עמודות אינסופיות של שורות קוד כאשר הוא מתלבט איזו גלולה לקחת היום.

הרשמה לניוזלטר

כל הסקירות בזירת הניתוחים של TheMarker - בתיבת המייל שלכם

ברצוני לקבל ניוזלטרים, מידע שיווקי והטבות


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות שאולי פיספסתם

*#