Sumber: cnn.comDi dunia ada banyak perusahaan yang bekerja di bidang keamanan informasi, tetapi seolah-olah dalam arah yang berlawanan. Organisasi semacam itu membeli informasi tentang metode peretasan untuk layanan dan aplikasi yang dikenal dan tidak, dan juga membeli exploit.
Salah satu organisasi seperti itu, Zerodium, telah
mengumumkan hadiah $ 1 juta untuk alat cracking WhatsApp dan iMessage-nya. Jumlah yang serupa akan dibayarkan kepada mereka yang memberikan eksploitasi yang memungkinkan akses ke aplikasi SMS / MMS dari sistem operasi seluler.
Dan semua ini dalam bidang hukum yang benar-benar legal. Organisasi ini bekerja untuk kepentingan layanan pemerintah di seluruh dunia. "Aplikasi pengiriman pesan, termasuk WhatsApp, terkadang bertindak sebagai saluran komunikasi untuk penyerang, dan enkripsi membuat layanan keamanan sulit untuk mendapatkan data yang diperlukan," kata pendiri Zerodium, Chauki Bekrar. Dia percaya bahwa kemampuan untuk mendapatkan akses jarak jauh ke berbagai aplikasi semacam ini membantu badan intelijen untuk bekerja lebih efisien.
Perlu dicatat bahwa kompromi iPhone dari seorang penyerang bisa merugikan negara $ 2 juta atau lebih.
Harga semahal itu merupakan indikator bahwa gadget benar-benar menjadi lebih terlindungi. Mereka lebih sulit untuk dipecahkan bahkan oleh spesialis kelas atas, dan ini berlaku untuk iOS dan Android. Kehidupan layanan khusus itu rumit, karena meskipun telepon jatuh ke tangan polisi atau badan intelijen, jauh dari selalu mungkin untuk mengambil informasi darinya.
Hingga hari ini, Zerodium siap membayar setengah juta dolar AS untuk meretas WhatsApp dan iMessage. Sekarang harga masalah telah menjadi lebih tinggi, tampaknya, layanan khusus pemerintah siap membayar lebih untuk "solusi masalah".
$ 1 juta bukan batasnya. Pemerintah mau membayar lebih, itu semua tergantung pada urgensi tugas yang perlu ditangani dan skala pekerjaan yang perlu dilakukan. Secara alami, tidak ada yang akan berbagi informasi dengan perusahaan messenger yang bersangkutan. Ini bukan masalahnya. Kerentanan dibeli untuk digunakan secara independen, menjaga informasi rahasia tentang kemungkinan peretasan.
Berkat hadiah besar, peretasan utusan dapat berurusan dengan seluruh tim spesialis, bukan penyendiri, seperti sebelumnya. Kepala startup Zerodium mengatakan sekarang ada banyak "produk" di "industri nol hari" seperti yang belum pernah mereka lakukan sebelumnya. "Anda bahkan tidak bisa membayangkan apa yang sedang dikembangkan dan dijual di pasar ini," kata Bekrar.
Perlu dicatat bahwa hadiah Zerodium jauh lebih tinggi daripada "hadiah" program karunia banyak organisasi. Dengan demikian, pengembang yang telah menemukan kerentanan tertentu tidak terburu-buru untuk berbagi informasi tentang temuan mereka dengan pengembang perangkat lunak yang disusupi. Akibatnya, situasi lucu muncul. Misalnya, Apple meluncurkan program hadiah untuk kerentanan yang ditemukan pada tahun 2016. Namun masih belum jelas apakah ada yang menerima hadiah. Pada 2017,
tidak ada orang seperti itu .
Dan siapa yang ingin berbagi data seperti itu jika Zerodium membayar $ 2 juta untuk jailbreak iOS jarak jauh? Ini 10 kali lebih banyak dari Apple - dalam kerangka program bounty, korporasi dapat membayar tidak lebih dari $ 200 ribu, dan pembayaran bahkan mungkin tidak terjadi sama sekali jika spesialis Cupertino tidak menyukai sesuatu. Hanya beberapa bulan yang lalu, Zerodium siap untuk membayar $ 500 ribu lebih sedikit dari sekarang - tampaknya, kebutuhan klien startup sedang tumbuh. Dan tidak hanya kerentanan untuk iOS menjadi lebih mahal. Untuk eksploit Chrome RCE + LPE, jumlah pembayarannya adalah $ 500.000. Ini kurang dari pada kasus menerima alat untuk meretas iOS, tetapi jumlahnya masih sangat signifikan.
Klien dari startup sebelumnya adalah unit pemerintah seperti Equation Group (FiveEyes, Tilded Team) dan Animal Farm (Snowglobe). Perusahaan dihubungi oleh para spesialis keamanan informasi yang ingin mendapatkan lebih dari dari perusahaan yang produknya diretas dan tidak memiliki keinginan untuk menunggu beberapa bulan (meninjau informasi tentang peretasan di Apple, Facebook, Microsoft, dll.). Di Zerodium, uang dibayarkan dalam waktu seminggu setelah dimulainya peninjauan data tentang alat yang diusulkan oleh cracker.