Bit-пазар за кибероръжия
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Bit-пазар за кибероръжия

Bit-пазар за кибероръжия

Правителства изкупуват информацията за пропуски в сигурността на популярни онлайн приложения

Мартин Дешев
5934 прочитания

© shutterstock


Кибератаките постепенно стават един от предпочитаните методи за безшумно водене на бойни действия между съперничещи си държави. Както нагледно демонстрира вирусът Stuxnet, хакерските активности вече могат да нанесат материални щети, които са съизмерими с реална военна операция, но са значително по-евтини. Освен това те могат да се извършват скрито, напълно неочаквано и да са практически непроследими. Опасността от кибератаки е все по-голяма, затова всички големи държави не крият, че инвестират сериозни средства в тази сфера.

В същото време страните внимателно отклоняват темата, когато тя касае разработването на кибероръжия с нападателна насоченост. Обикновено най-честият отговор е, че други държави правят това. Някои страни като Япония и САЩ обаче с половин уста признават, че разработват и способности с офанзивна насоченост. Първите изтъкват, че ги използват само като защитна мярка, за да могат да атакуват източниците на хакерски атаки. САЩ, разбира се, имат доста по-мащабни проекти, но те остават забулени в тайна. Наскоро обаче стана ясно, че страната ще се фокусира и върху офанзивните разработки.

Черният пазар

През последната година изтича все повече информация за част от действията на САЩ в тази област. Оказва се, че американските военни са сред основните движещи сили на черен пазар за т.нар. zero-day слабости в сигурността на софтуерни разработки. С термина zero-day се означават новооткрити пропуски в сигурността, които започват да се разпространяват сред хакерите, преди компанията да е имала време да разработи обновление, което да реши проблема или дори преди да е разбрала за неговото наличие.

Дълго време подобни открития се обявяваха по време на хакерски конференции, като обикновено наградите бяха дребни суми, по-висок престиж и от време на време някое и друго предложение за работа. Постепенно zero-day пробивите в сигурността на софтуерите привличат вниманието на големите компании и правителства, което създава своеобразен черен пазар за търговия с тях, твърди онлайн изданието TechnologyReview. Според негова информация администрацията на САЩ е готова да плати стотици хиляди долари за определени zero-day открития.

"От една страна, правителството се притеснява за киберсигурността, но от друга, САЩ участват в глобален пазар за изкупуване на софтуерните слабости и вдига цените", казва Кристофър Согоян, една от водещите фигури в Американския съюз за граждански права и свободи - неправителствена организация, която се е захванала с разследването на проблема. Той допълва, че военните използват закупената информация не за да я предоставят на компаниите и да подобрят  сигурността на софтуерните продукти, а за разработката на кибероръжия, които да се възползват максимално от подобни слабости.

През есента на миналата година САЩ дори са приели специфични директиви, които изваждат използването на zero-day пробивите в сигурността от регулацията, която се занимава с кибероръжията. Така правителството отказва да носи отговорност, когато се възползва от тях и практически може да ги използва неограничено, коментира Согоян пред онлайн изданието FierceGovernmentIT. Според действащата американска регулация за кибероръжие се приема само специален код, който е използван за нанасяне на щети. Кодът, който е използван за проникване в системата и практически дава възможност за последващо нанасяне на щети, обаче не се смята за такова.

Това не е първият случай, когато става ясно, че САЩ проявяват специален интерес в тази сфера. През миналата година Forbes публикува интервю с тайландски програмист, който твърди, че е бил сред основните посредници при договарянето на подобни сделки между представители на САЩ и държави от Западна Европа. Софтуерният инженер, който се представя само с прякора си the Grugq, също твърди, че сами по себе си zero-day слабостите не са кибероръжия, а просто компонент от тях.

The Grugq разкрива и част от тарифите при търговията с подобна информация. Zero-day хак за Android например варира между $30 000 и $60 000. Слабост в Windows се котира между $60 000 и $120 000. Интересът към интернет браузърите Chrome и Internet Explorer, както и към мобилната платформа iOS на Apple, е най-голям. Там цените започват от $80 000 и достигат $250 000. В зависимост от важността на софтуера понякога откривателят на проблема получава и месечно възнаграждение, докато дупката не бъде открита от компанията и поправена, допълва още Согоян.

Все по-големи рискове

Изкупуването на информацията за подобни сериозни пропуски в сигурността на приложенията съвсем естествено създава рискове за всички потребители. Компаниите разбират за наличието на проблем с голямо закъснение, ако изобщо научат за него. Не трябва да се подценява и опасността от наличието на кибероръжия, които се възползват от конкретните слабости. По този начин интернет се превръща във все по-опасно пространство, където рисковете стават съвсем реални.

Разбира се, кибероръжията са създадени за поразяването на специфични цели, а не са насочени срещу всеки компютър в интернет. Проследяването на един от най-известните вируси в историята - Stuxnet, обаче доказа, че той е заразил и компютри в други държави, а не само машини в ядрена централа на Иран, които са били неговата конкретна цел. Неговата тясна профилираност, а именно да саботира центрофугите за обогатяване на уран, му попречи да нанесе щети извън ядрената централа.

САЩ далеч не са единствената държава, която крои подобни планове. Много други страни също започват да се възползват от тази практика, което допълнително засилва конкуренцията и вдига цените на zero-day пакетите. Според Сужийт Шеной, който оглавява правителствената програма Cyber Corps, всички държави разработват кибероръжия. Въпросната програма обучава студенти за работа към правителствени агенции, където те ще трябва да осигуряват защита от кибератаки.

"Разработването на мощни кибероръжия създава и опасното изкушение те да бъдат използвани", казва Шеной. Той изказва притеснения от последиците върху инфраструктурата след използването на подобно кибероръжие. Шеной допълва, че частният сектор също поставя голям акцент върху използването на онлайн офанзивни способности. Той дори призовава съдилищата да се обединят и да забранят кибератаките.

Военните обаче остават твърдо решени да се възползват от zero-day пропуските в сигурността. "Част от нашата защита е да обмислим и офанзивни мерки. През следващите години ще увеличим фокуса си върху проучването на офанзивни възможности, които да адресират конкретни военни нужди", казва ген. Кийт Александър, директор на американската Агенция за национална сигурност (NSA).

Кибератаките постепенно стават един от предпочитаните методи за безшумно водене на бойни действия между съперничещи си държави. Както нагледно демонстрира вирусът Stuxnet, хакерските активности вече могат да нанесат материални щети, които са съизмерими с реална военна операция, но са значително по-евтини. Освен това те могат да се извършват скрито, напълно неочаквано и да са практически непроследими. Опасността от кибератаки е все по-голяма, затова всички големи държави не крият, че инвестират сериозни средства в тази сфера.

В същото време страните внимателно отклоняват темата, когато тя касае разработването на кибероръжия с нападателна насоченост. Обикновено най-честият отговор е, че други държави правят това. Някои страни като Япония и САЩ обаче с половин уста признават, че разработват и способности с офанзивна насоченост. Първите изтъкват, че ги използват само като защитна мярка, за да могат да атакуват източниците на хакерски атаки. САЩ, разбира се, имат доста по-мащабни проекти, но те остават забулени в тайна. Наскоро обаче стана ясно, че страната ще се фокусира и върху офанзивните разработки.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

2 коментара
  • 1
    dekster avatar :-|
    КЛЮЧАРЪ

    Нищо ново. Познайте кое е второто по активност в тази насока правителство... Китайците не само са добре подготвени, но и вече осъществяват военни кибер-операции. И това отделно от индустриалния и финансов шпионаж.Китайски хакери наскоро атакуваха Уол Стрийт Джърнал за публикацията му за богатството на китайския МП, а ирански хакери притесниха няколко американски банки.

    "Добрата новина", за която чух скоро е, че средното време за откриване на пропуска в сигурността на компаниите жертви е спаднал от три на една година. Това означава, че често проникналият в системата има достатъчно време да я проучи и манипулира.

    Третата Световна Война е факт.

  • 2
    mapto avatar :-|
    mapto

    Един доста изчерпателен ценоразпис за услугите на руския пазар:
    http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-101.pdf


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

Още от Капитал

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK