Những lỗ hổng bảo mật (zero-day) càng nguy hiểm lại càng có giá. Xin trích lược bài viết trên tạp chí Forbes về thị trường kinh doanh mặt hàng “đặc biệt” này.
 |
| “The Grugq” tại sự kiện của giới hacker HITB 2011 - Ảnh minh họa: Internet |
Phải làm ǵ sau khi phát hiện một lỗ hổng bảo mật trong một thiết bị như iPad hay iPhone hoặc một chương tŕnh phần mềm/hệ điều hành đang được rất nhiều người sử dụng như Mac OS X hay Windows? Bạn có thể báo cáo với Apple để có cơ hội tŕnh bày phát hiện của ḿnh tại hội nghị bảo mật do hăng này tổ chức để được nổi tiếng, hoặc bạn sẽ nhận được phần thưởng tối đa 10.000 USD nếu chia sẻ tại sự kiện Zero Day Initiative do HP chủ tŕ.
Nhưng nếu quen biết một chuyên gia bảo mật mang bí danh “The Grugq”, hiện đang sống tại Bangkok, Thái Lan, bạn sẽ có lựa chọn thứ ba: nhờ người này đóng vai tṛ trung gian để bán phát hiện về lỗ hổng an ninh của bạn cho một cơ quan chính phủ và được trả khoảng 250.000 USD, chưa kể 5% hoa hồng cho The Grugq.
Ví dụ trên chỉ là một trong số rất nhiều thương vụ mà Grugq đă dàn xếp thành công trong hơn một năm qua, đă mang lại cho Gruqg tài sản lên đến gần 1 triệu USD trong năm nay. Chỉ mới một tháng trước, Grugq đă sắp xếp thành công một cuộc gặp giữa một lập tŕnh viên iOS và một đại diện Chính phủ Mỹ với “hàng” là một lỗ hổng nghiêm trọng bên trong hệ điều hành di động của Apple.
Ngay với số tiền 250.000 USD Grugq có được từ phi vụ, anh vẫn cho rằng ḿnh “đă có thể có nhiều hơn thế”. “Tôi nghĩ ḿnh đă hớ, người mua khi đó đă quá vui mừng” - Grugq trả lời phóng viên tạp chí Forbes.
Mức giá sáu con số cho một lỗ hổng bảo mật có vẻ khó tin nhưng lại hoàn toàn khả thi. Sau chuyến điều tra và nghiên cứu thị trường bí mật song lại hợp pháp này, tờ Forbes đă tổng hợp được một “bảng giá” các lỗ hổng zero-day như sau:
 |
| “Bảng giá” lỗ hổng bảo mật tương ứng từng lọai phần mềm, tŕnh duyệt web và hệ điều hành (máy bàn lẫn di động) - Ảnh minh họa: Forbes |
Các yếu tố góp phần định giá một lỗ hổng dựa vào mức độ phổ biến của phần mềm hoặc chương tŕnh chứa nó, cũng như độ khó trong việc bẻ khóa (crack) chương tŕnh đó. Chẳng hạn, một phương thức cho phép hacker chiếm quyền điều khiển một máy Mac OS X thường rẻ hơn phương thức tương tự trên Windows, bởi thị phần rộng lớn của hệ điều hành này.
Song một lỗ hổng trên iOS lại có giá hơn một lỗi trên Android, do việc hack vào hệ thống iOS đ̣i hỏi nhiều công sức và kỹ năng cao cấp hơn.
Theo lời Grugq, đă có những tổ chức trả 250.000 USD cho Comex (cha đẻ của công cụ Jailbreakme 3.0) để đổi lấy cách thức tấn công hệ điều hành di động của Apple.
Những người mua bí ẩn
Đó là các chính phủ nhiều nước phương Tây, đặc biệt là Mỹ.
Đối với Grugq, vốn mang quốc tịch Nam Phi, việc anh hầu như chỉ giao dịch với các đối tác châu Âu và Mỹ không v́ lư do sắc tộc, mà chỉ bởi những người ở đây chịu chi nhiều hơn. Các thị trường khác như Nga, Trung Quốc, Trung Đông và phần c̣n lại của châu Á tiềm ẩn quá nhiều rủi ro và hạn chế, khiến giá của mặt hàng đặc biệt này luôn thấp và bị ép giá đối với bên bán.
Grugq cũng không đơn độc trong cuộc chơi này, nhiều doanh nghiệp tư nhân khác như Vupen (Pháp), Endgame và Netragard (Mỹ), thậm chí cả các tập đoàn quân sự lớn như Northrop Grumman, Raytheon cũng tham gia thị trường mua đi bán lại các lỗ hổng bảo mật.
Vậy tại sao không chỉ việc bán thẳng các phát hiện về lỗi bảo mật cho chính những hăng sản xuất phần mềm, để họ kịp thời cập nhật bản vá cho các khách hàng của ḿnh? Những doanh nghiệp công nghệ như Mozilla và Facebook có mức thù lao vài ngàn USD cho các lỗ hổng được phát hiện. Đối với gă khổng lồ t́m kiếm Google, con số tối đa thường là 3.133,70 USD cho thông tin về các lỗ hổng thuộc hàng “tinh vi” nhất trong những sản phẩm của hăng này như Google Chrome, Chrome OS…, thứ chỉ những hacker “ưu tú” nhất mới đủ tŕnh độ t́m ra.
Song tấm chi phiếu bốn con số không đủ hấp dẫn những người như Grugq. “Nếu muốn họ có thể mua chúng với giá thị trường như bao người khác. Họ đă có email liên lạc của tôi rồi” - Grugq kết thúc buổi phỏng vấn với phóng viên tờ Forbes.
THÚY QUỲNH
itGate (theo Tuoitre)
News
Library
Technology
Giải Trí
Portals
Tin Sốt
Home
"Chợ đen" mua bán… lỗi bảo mật
