Forbes investigou mercado de vulnerabilidades e descobriu valor das falhas.
De acordo com um negociante, governos ocidentais pagam mais.
1 comentário
Um hacker que usa o apelido de "Grugq" teria negociado uma falha do
iPhone com uma empresa contratada pelo governo norte-americano, segundo
reportagem da revista "Forbes". "Grugq" age como intermediário entre
outros hackers e agências e empresas que trabalham com o governo,
vendendo vulnerabilidades em sistemas e aplicativos, e fica com 15% do
valor da venda como comissão.
Algumas empresas, como a HP e a Verisign, também pagam pesquisadores de segurança por informações sobre as brechas. Os valores são muito menores – normalmente, não passam de US$ 10 mil – e o desenvolvedor do software é sempre alertado a respeito da existência do problema.
"Grugq", no entanto, age colocando em contato hackers e partes interessadas, muitas vezes ligadas ao governo. Ele diz, segundo a "Forbes", que os governos ocidentais pagam mais e também tomam mais cuidado com a informação adquirida. "Vender [uma falha] para a máfia russa garante que ela vai morrer em pouco tempo", afirmou ele, referindo-se a um uso exagerado da vulnerabilidade que levaria a brecha ao conhecimento do desenvolvedor.
"A Rússia está cheia de criminosos. Eles ganham dinheiro com as falhas do meio mais brutal e medíocre possível, e trapaceiam uns aos outros", afirmou Grugq à Forbes. Grugq disse que faz 80% das suas vendas nos Estados Unidos, mas que, às vezes, os pesquisadores pedem que uma falha específica seja comercializada apenas na Europa.
iPhone é o mais valioso
Segundo a reportagem da "Forbes", as falhas do iPhone são as mais valiosas do mercado e normalmente são vendidas por valores entre US$ 100 mil e US$ 250 mil. As menos valiosas são as do Adobe Reader, software leitor de documentos, que valem de US$ 5.000 a US$ 30.000.
Os valores se referem a uma venda exclusiva – ou seja, a brecha não
pode ser vendida duas vezes – e também que o erro exista na versão mais
nova do programa.
O comércio de vulnerabilidades é um tema polêmico entre especialistas. O Google também remunera os pesquisadores que descobrem falhas em seus produtos. Porém, outras empresas, como a Microsoft, resistem à prática.
Para Grugq, a atividade não difere de qualquer outra. "Você está basicamente vendendo software comercial. Ele precisa estar polido e ter documentação. A única diferença é que você só uma licença, pra sempre, e todo mundo diz que você é mau", afirmou.
saiba mais
As vulnerabilidades comercializadas não são comunicadas às empresas que
desenvolvem o software, garantindo que a falha fique por mais tempo sem
uma correção e viabilizando invasões em sistemas que utilizam os
softwares.Algumas empresas, como a HP e a Verisign, também pagam pesquisadores de segurança por informações sobre as brechas. Os valores são muito menores – normalmente, não passam de US$ 10 mil – e o desenvolvedor do software é sempre alertado a respeito da existência do problema.
"Grugq", no entanto, age colocando em contato hackers e partes interessadas, muitas vezes ligadas ao governo. Ele diz, segundo a "Forbes", que os governos ocidentais pagam mais e também tomam mais cuidado com a informação adquirida. "Vender [uma falha] para a máfia russa garante que ela vai morrer em pouco tempo", afirmou ele, referindo-se a um uso exagerado da vulnerabilidade que levaria a brecha ao conhecimento do desenvolvedor.
"A Rússia está cheia de criminosos. Eles ganham dinheiro com as falhas do meio mais brutal e medíocre possível, e trapaceiam uns aos outros", afirmou Grugq à Forbes. Grugq disse que faz 80% das suas vendas nos Estados Unidos, mas que, às vezes, os pesquisadores pedem que uma falha específica seja comercializada apenas na Europa.
iPhone é o mais valioso
Segundo a reportagem da "Forbes", as falhas do iPhone são as mais valiosas do mercado e normalmente são vendidas por valores entre US$ 100 mil e US$ 250 mil. As menos valiosas são as do Adobe Reader, software leitor de documentos, que valem de US$ 5.000 a US$ 30.000.
| Software | Valor (em US$, segundo Forbes) | Valores em reais (aprox.) |
|---|---|---|
| Adobe Reader | 5.000 – 30.000 | 9.000 – 55.000 |
| Mac OS X | 20.000 – 50.000 | 35.000 – 90.000 |
| Android | 30.000 – 60.000 | 55.000 – 110.000 |
| Java | 40.000 – 100.000 | 70.000 – 185.000 |
| Microsoft Word | 50.000 – 100.000 | 90.000 – 180.000 |
| Windows | 60.000 – 120.000 | 110.000 – 220.000 |
| Firefox / Safari | 60.000 – 150.000 | 110.000 – 270.000 |
| Chrome / Internet Explorer | 80.000 – 200.000 | 140.000 – 370.000 |
| iOS (iPhone) | 100.000 – 250.000 | 180.000 – 450.0 |
O comércio de vulnerabilidades é um tema polêmico entre especialistas. O Google também remunera os pesquisadores que descobrem falhas em seus produtos. Porém, outras empresas, como a Microsoft, resistem à prática.
Para Grugq, a atividade não difere de qualquer outra. "Você está basicamente vendendo software comercial. Ele precisa estar polido e ter documentação. A única diferença é que você só uma licença, pra sempre, e todo mundo diz que você é mau", afirmou.
Nenhum comentário:
Postar um comentário