یک استارتاپ جدید در امارات متحده عربی تا سقف ۲۰ میلیون دلار برای ابزارهای هکی که بتوانند به دولتها کمک کنند تا با یک پیام متنی وارد هر گوشی هوشمندی شوند، جایزه تعیین کرده است.
شرکت “Advanced Security Solutions” که به تازگی شروع به کار کرده است، در حال حاضر برخی از بالاترین قیمتها را در بازار “روز صفر” (zero-day) ارائه میدهد. “روز صفر” به نقصهایی در نرمافزار گفته میشود که در زمان کشف، برای توسعهدهنده مربوطه ناشناخته هستند. این ابزارها میتوانند برای هکرها، به ویژه آنهایی که برای سازمانهای مجری قانون و اطلاعاتی کار میکنند، بسیار ارزشمند باشند.
علاوه بر بالاترین جایزه ۲۰ میلیون دلاری که برای هر سیستم عامل تلفن همراه در نظر گرفته شده، این شرکت برای آسیبپذیریها در نرمافزارهای مختلف نیز جوایزی ارائه میدهد: ۱۵ میلیون دلار برای همان نوع آسیبپذیریهای روز صفر برای دستگاههای اندروید و آیفون؛ ۱۰ میلیون دلار برای ویندوز؛ ۵ میلیون دلار برای کروم؛ ۱ میلیون دلار برای مرورگرهای سافاری اپل و مایکروسافت اج، و غیره.
هنوز مشخص نیست چه کسی پشت این شرکت است و مشتریانش چه کسانی هستند.
در وبسایت این شرکت آمده است: “ما به سازمانهای دولتی، سرویسهای اطلاعاتی و مجریان قانون قدرت میدهیم تا با دقت در میدان نبرد دیجیتال عمل کنند. ما همکاری مستمری با بیش از ۲۵ دولت و سازمان اطلاعاتی در سراسر جهان داریم. مشتریان ما به طور مداوم برای خدمات جدید باز میگردند، که نشاندهنده اعتماد و ارزش استراتژیکی است که ما در زمینههای عملیاتی پرخطر، از جمله مبارزه با تروریسم و کنترل مواد مخدر ارائه میدهیم.”
در این وبسایت همچنین آمده است که اگرچه این شرکت جدید است، “منحصراً از متخصصانی با بیش از ۲۰ سال تجربه عملیاتی در واحدهای اطلاعاتی نخبه و پیمانکاران نظامی خصوصی تشکیل شده است.”
شرکت Advanced Security Solutions به مجموعهای از سوالات پاسخ نداد، از جمله اینکه چه کسی بودجه، مالکیت و اداره شرکت را بر عهده دارد، مشتریان چه کسانی هستند، و همچنین اینکه آیا این شرکت محدودیتهای اخلاقی یا قانونی خودتحمیلی در مورد اینکه به کدام دولتها بفروشد، دارد یا خیر.
یک محقق امنیتی با تجربه در دنیای روز صفر به خبرنگار گفت که قیمتهای ارائه شده توسط Advanced Security Solutions تقریباً مطابق با قیمتهای فعلی بازار است.
این شخص به شرط ناشناس ماندن برای صحبت صریح در مورد صنعت روز صفر به خبرنگار گفت: “معمولاً این قیمتهای تبلیغاتی در محدوده معقولی قرار دارند.” او افزود که جایزه ۲۰ میلیون دلاری “بسته به اینکه چقدر بیپروا باشید، کم است.”
این محقق همچنین هشدار داد که شخصاً با شرکتی که فاش نمیکند چه کسی پشت آن است، مانند این مورد، معامله نمیکند. او گفت: “من فکر نمیکنم شما باید باگها را به کسی بفروشید که سعی دارد هویت خود را پنهان کند.”
بازار روز صفر در ده سال گذشته به طور قابل توجهی گسترش یافته است، هم از نظر تعداد شرکتهای شرکتکننده در آن و هم از نظر قیمتهای ارائه شده.
در سال ۲۰۱۵، شرکت Zerodium، کارگزاری که مانند Advanced Security Solutions آسیبپذیریهای روز صفر را از محققان خریداری میکند و به دولتها میفروشد، از اولین شرکتهایی بود که لیست قیمت خود را منتشر کرد. در آن زمان، این شرکت که توسط Chaouki Bekrar، دلال باسابقه آسیبپذیریها تأسیس شده بود، تا سقف ۱ میلیون دلار برای ابزارهای هک آیفون جایزه میداد. سه سال بعد، شرکت Crowdfense برای همان نوع آسیبپذیریهای روز صفر ۳ میلیون دلار جایزه تعیین کرد.
اخیراً، قیمتهای روز صفر به شدت افزایش یافته است، که بخشی از آن به دلیل افزایش تقاضا و همچنین به دلیل دشوارتر شدن هک کردن دستگاهها و نرمافزارهای مدرن است، این به لطف شرکتهای بزرگ فناوری است که امنیت خود را بهبود بخشیدهاند.
سال گذشته، شرکت Crowdfense لیست قیمت جدید خود را منتشر کرد که تا سقف ۷ میلیون دلار برای آسیبپذیریهای روز صفر برای نفوذ به آیفون و ۵ میلیون دلار برای همان نوع آسیبپذیریها برای اندروید جایزه تعیین کرده بود. مشتریان همچنین میتوانند آسیبپذیریهای روز صفر را برای برنامههای خاص، به ویژه برنامههای پیامرسانی مانند واتساپ (تا ۸ میلیون دلار) و تلگرام (تا ۴ میلیون دلار) خریداری کنند.
شرکت Advanced Security Solutions میگوید که برای آسیبپذیریهای روز صفر تلگرام، سیگنال و واتساپ ۲ میلیون دلار جایزه ارائه میدهد.
شرکت روسی Operation Zero یک مورد استثنایی در بازار بود و تا سقف ۲۰ میلیون دلار برای همان نوع آسیبپذیریهایی که Advanced Security Solutions به دنبال آن است، جایزه تعیین کرده بود. Operation Zero در موقعیت منحصر به فردی قرار دارد زیرا میگوید فقط با دولت روسیه کار میکند و برای بسیاری از محققان در ایالات متحده و اروپا، فروش ابزارهای هک خود به روسیه غیرقانونی است، که به این معنی است که Operation Zero ممکن است در یافتن آنچه به دنبال آن است، با مشکل بیشتری روبرو شود.
منبع: techcrunch.com
