Fonte: cnn.comNo mundo, existem muitas empresas que trabalham no campo da segurança da informação, mas como se estivessem na direção oposta. Essas organizações compram informações sobre métodos de hacking para serviços e aplicativos conhecidos e não muito, e também compram explorações.
Uma dessas organizações, a Zerodium,
anunciou uma recompensa de US $ 1 milhão por suas ferramentas de cracking do WhatsApp e do iMessage. Um valor semelhante será pago àqueles que fornecerem explorações que permitam o acesso a aplicativos SMS / MMS de sistemas operacionais móveis.
E tudo isso está em um campo jurídico absolutamente legal. A organização trabalha no interesse de serviços governamentais em todo o mundo. "Os aplicativos de mensagens, incluindo o WhatsApp, às vezes atuam como um canal de comunicação para os invasores, e a criptografia dificulta os serviços de segurança para obter os dados necessários", disse Chauki Bekrar, fundador da Zerodium. Ele acredita que a capacidade de obter acesso remoto a vários aplicativos desse tipo ajuda as agências de inteligência a trabalhar com mais eficiência.
Vale ressaltar que comprometer o iPhone de um invasor pode custar ao Estado US $ 2 milhões ou mais.
Um preço tão alto é um indicador de que os aparelhos estão realmente ficando cada vez mais protegidos. Eles são mais difíceis de decifrar, mesmo por especialistas de alta classe, e isso se aplica ao iOS e Android. A vida de serviços especiais é complicada, porque, mesmo que o telefone caia nas mãos da polícia ou da agência de inteligência, nem sempre é possível extrair informações dele.
Até hoje, a Zerodium estava pronta para pagar meio milhão de dólares pelos hackers do WhatsApp e do iMessage. Agora, o preço da questão aumentou, aparentemente, os serviços especiais do governo estão prontos para pagar mais pela "solução da questão".
US $ 1 milhão não é o limite. Os governos estão dispostos a pagar mais, tudo depende da urgência da tarefa que precisa ser abordada e da escala do trabalho que precisa ser realizado. Naturalmente, ninguém compartilhará informações com as empresas de mensagens em questão. Este não é o caso. As vulnerabilidades são adquiridas para serem usadas independentemente, mantendo informações secretas sobre a possibilidade de invasão.
Graças à grande recompensa, os mensageiros de hackers podem lidar com equipes inteiras de especialistas, em vez de solitários, como era antes. O chefe da startup Zerodium diz que agora existem tantos "produtos" na "indústria do dia zero" como nunca haviam sido antes. "Você nem imagina o que está sendo desenvolvido e vendido neste mercado", diz Bekrar.
Vale ressaltar que a recompensa do Zerodium é muito maior do que os "prêmios" dos programas de recompensas de muitas organizações. Assim, os desenvolvedores que encontraram uma vulnerabilidade específica não têm pressa em compartilhar informações sobre suas descobertas com os desenvolvedores de software comprometido. Como resultado, surgem situações engraçadas. Por exemplo, a Apple lançou um programa de recompensa por vulnerabilidades encontradas em 2016. Mas ainda não está claro se alguém recebeu uma recompensa. Em 2017,
não havia essas pessoas .
E quem quer compartilhar esses dados se o Zerodium pagar US $ 2 milhões por um jailbreak remoto do iOS? Isso é 10 vezes mais do que o da Apple - no âmbito do programa de recompensas, a empresa não pode pagar mais de US $ 200 mil, e o pagamento pode nem acontecer se os especialistas de Cupertino não gostarem de algo. Apenas alguns meses atrás, a Zerodium estava pronta para pagar US $ 500 mil a menos do que agora - aparentemente, as necessidades dos clientes iniciantes estão crescendo. E não apenas as vulnerabilidades para iOS estão se tornando mais caras. Para a exploração do Chrome RCE + LPE, o valor do pagamento é de US $ 500.000, o que é menor do que no caso de receber ferramentas para invadir o iOS, mas o valor ainda é muito significativo.
Os clientes da startup eram anteriormente unidades governamentais como o Equation Group (FiveEyes, Tilded Team) e Animal Farm (Snowglobe). A empresa é contatada pelos especialistas em segurança da informação que desejam obter mais do que as empresas cujos produtos foram invadidos e não desejam esperar alguns meses (revisando informações sobre hackers na Apple, Facebook, Microsoft etc.). Na Zerodium, o dinheiro é pago dentro de uma semana após o início da análise dos dados sobre a ferramenta proposta pelo cracker.