Do 2010 roku Google płacił hakerom za wykryte błędy przysłowiowym uściskiem dłoni. Każdy, kto rzetelnie i kompetentnie ujawnił błąd w jego oprogramowaniu, był nagradzany koszulką i wzmianką na stronie firmy. Atak Aurory (wirus typu ransomware – przyp. Red. SN) spowodował, że Google poszedł po rozum do głowy i postanowił wypłacać swojej armii wolontariuszy konkretne pieniądze.
Honoraria hakerów wahały się od minimalnej kwoty 500 dolarów do maksymalnego wynagrodzenia w wysokości 1337 dolarów. Ta pozornie
przypadkowa wypłata była sprytnym mrugnięciem okiem do docelowej grupy odbiorców – liczba 1337 bowiem w kodzie hakerów wymawia się jak słowo leet, co w brzmieniu angielskim przypomina skrót od elite (elita). Przydomkiem leet określano wysoko wykwalifikowanych hakerów, którzy byli przeciwieństwem tzw. script kiddies (nazwa oznaczająca hakerów amatorów – przyp. tłum.). Zmianę strategii Google’a należało traktować jako ofertę pokojową dla społeczności, która przez lata postrzegała różne firmy technologiczne niemal jako reinkarnację szatana.
Nie był to zresztą pierwszy przypadek, kiedy firma technologiczna płaciła hakerom za błędy. Kilka lat przed iDefense, w 1995 roku, Netscape zaczął wypłacać niewielkie sumy tym, którzy ujawnili błędy w jego przeglądarce Netscape Navigator. Zainspirowało to Mozillę do podjęcia podobnych działań poprzez przekazanie kilkuset dolarów hakerom, którzy w 2004 roku znaleźli poważne luki w jej przeglądarce Firefox. Jednak Google wyraźnie podniósł stawkę. Złożył ofertę wynagrodzenia informatykom, którzy znaleźli błędy w Chromium, otwartym kodzie źródłowym przeglądarki internetowej Chrome.
Podobnie jak w przypadku iDefense, pierwsze błędy, za które zapłaciła firma, okazały się bezwartościowe. Jednak wraz z rozejściem się pogłosek, że Google traktuje sprawę poważnie, firma zaczęła otrzymywać coraz więcej raportów o błędach krytycznych. W ciągu kilku miesięcy Google rozszerzył program na wszelkie błędy, które stanowiły zagrożenie dla danych użytkowników w serwisach YouTube, Gmail i innych. Co więcej, maksymalna stawka wzrosła z 1337 dolarów do 31337 dolarów – eleet w kodzie hakerów. Stopniowo dopasowywano oferty do łupów i przygotowano propozycję wsparcia dotacji na cele charytatywne.
Google zdawał sobie sprawę z tego, że nigdzie na świecie nie uda mu się pozyskać żadnego Charliego Zero-Day. Wszyscy oni już wcześniej mocno się sparzyli. Nigdy też nie mógł dorównać honorariom, jakie płacili Desautels i inni. Wystarczyło to jednak, by zachęcić do współpracy programistów z Algierii, Białorusi, Rumunii, Polski, Rosji, Kuala Lumpur, Egiptu, Indonezji czy z francuskiej lub włoskiej wsi, a nawet bezpaństwowych Kurdów i przekonać ich, że warto spędzać wolne godziny na wyszukiwaniu błędów Google’a. […]
Przez lata niewielka grupa hakerów potajemnie zarabiała setki tysięcy dolarów, a w niektórych przypadkach miliony, na sekretnym rządowym rynku luk i exploitów (exploit – program wykorzystujący błąd lub luki w systemie – przyp. Red. SN). Teraz Google w znaczącym stopniu utrudnił jej pracę, płacąc setkom programistów i hakerów stojących na straży bezpieczeństwa. W miarę jak program nagród Google’a nabierał rozpędu, tempo, w jakim hakerzy przekazywali krytyczne błędy, zaczęło zwalniać.
Działo się tak między innymi dlatego, że projekt wynagrodzeń po części osiągnął swój cel – oprogramowanie Google’a było w znacznie mniejszym stopniu narażone na ataki. Firma zdecydowała się podnieść stawkę jeszcze wyżej. Rozdawała premie w wysokości tysiąca dolarów, sponsorowała konkursy hakerskie w Kuala Lumpur i Vancouver, oferując honorarium w wysokości 60 tysięcy dolarów za pojedynczy exploit dla własnej przeglądarki Chrome.
Część środowiska szydziła z nagród dla Chrome’a, zauważając, że ten sam exploit mógłby zarobić trzy razy tyle na rynku rządowym. Z jakiego powodu ktokolwiek miałby informować Google’a o lukach w jego systemach, jeżeli ktoś inny proponował daleko więcej pieniędzy za zachowanie milczenia? Nikt nie wystawił programu nagród Google’a na pośmiewisko bardziej niż Wilk z Wuln Street. Chaouki Bekrar, francuski Algierczyk, uczestniczył w sponsorowanych przez Google’a konkursach i konferencjach.
Każdego roku hakerzy z całego świata zjeżdżają do Vancouver na konferencję CanSecWest, gdzie walczą o nagrody pieniężne i darmowe urządzenia w najlepiej opłacanym konkursie hakerskim na świecie – Pwn2Own. We wczesnych latach rywalizacji hakerzy mieli za zadanie w jak najkrótszym czasie włamać się do systemu przeglądarek Safari, Firefox i Internet Explorer. Gdy smartfony weszły do powszechnego użytku, główne nagrody przyznawano zawodnikom, którzy potrafili zhakować urządzenia iPhone czy BlackBerry.
W 2012 roku przed hakerami postawiono zadanie włamania się do przeglądarki Chrome. Trzy zespoły podołały wyzwaniu, lecz tylko dwóm z nich przyznano nagrodę finansową ufundowaną przez firmę Google. Zespół hakerów z Vupen, w którego składzie znalazł się Bekrar, odrzucił warunki stawiane przez sponsora i odmówił ujawnienia szczegółów swojego exploita. „Google nie dowie się, jak to zrobiliśmy. Za żadne skarby, nawet za milion dolarów” – powiedział reporterowi Bekrar. „Zatrzymamy to dla własnych klientów”.
Bekrar wykazał się równie bezpośrednią i rzeczową postawą, co każdy z brokerów na rynku. „Nie po to pracujemy tak ciężko, aby wspierać wielomiliardowe koncerny w zabezpieczaniu ich kodu” – dodał. „Gdybyśmy chcieli zostać wolontariuszami, to pomoglibyśmy bezdomnym”.
W siedzibie Vupen, w południowej Francji, hakerzy tworzyli exploity zero-day na zamówienie agencji rządowych z całego świata. Wśród ich najpoważniejszych klientów znalazła się nawet NSA. Agencja ta oraz jej niemiecki odpowiednik – BSI – a także inni klienci Vupena
byli skłonni wyłożyć 100 tysięcy dolarów rocznie tylko po to, aby zerknąć na enigmatyczne opisy jego exploitów. Za dostarczenie kodu
exploita Vupen pobierał od rządów każdorazowo minimum 50 tysięcy dolarów.
Bekrar traktował nagrody Google’a w kategorii żartu. Na konferencjach pojawiał się wyłącznie w celu nawiązania kontaktów z klientami. Zapewniał, że swoje produkty sprzedawał wyłącznie krajom NATO lub „ich partnerom”, takim jak nienależący do NATO członkowie Sojuszu Pięciorga Oczu. Jednocześnie zdawał sobie doskonale sprawę, że kod mógł dostać się w niepowołane ręce. „Z jednej strony robimy wszystko, co w naszej mocy, aby zagwarantować, że nie wyjdzie poza tę agencję” – oświadczył reporterowi. „Z drugiej jednak, jeśli sprzedajesz komuś broń, musisz wziąć pod uwagę, że tracisz nad nią kontrolę”.
Bekrar określił to mianem „transparentności”. Innego zdania byli jego krytycy, zarzucając mu „bezwstydność”. Wśród nich znalazł się Chris Soghoian, zagorzały obrońca prywatności, który porównał Bekrara do „współczesnego handlarza śmiercią” i sprzedawcy „cyberpocisków”. „Vupen nie wie, gdzie wykorzystywane są jego exploity, bo najprawdopodobniej wcale nie chce tego wiedzieć. Najważniejsze, żeby
zgadzały się zera na kontach” – twierdził Soghoian.
Tezy Soghoiana znalazły potwierdzenie trzy lata później, kiedy przecieki ujawniły, że Hacking Team wykorzystywał exploity zero- day Vupena w oprogramowaniu szpiegowskim, które sprzedawał na przykład do Sudanu i Etiopii.
Zainteresowanie mediów sprawiło, że świat jak w soczewce ujrzał działanie obu firm. Europejscy regulatorzy dostrzegli hipokryzję rezydentów siedziby największych handlarzy cyberbronią, którzy równocześnie najostrzej na świecie stają w obronie ochrony prywatności. W krótkim czasie organy administracji cofnęły Hacking Team globalną licencję eksportową. Teraz firma zmuszona była każdorazowo uzyskiwać pozwolenie włoskich władz na sprzedaż oprogramowania szpiegującego na rynku międzynarodowym.
Następny na liście do odstrzału znalazł się Vupen. Po tym jak władze cofnęły mu licencję, Bekrar spakował się i przeniósł swoje biura z Montpelier do globalnej siedziby rynku cyberzbrojeniowego – Waszyngtonu. Biorąc przykład z okrytego złą sławą kontrahenta wojskowego Blackwatera, przemianował Vupen na Zerodium. Uruchomił nową, elegancką stronę internetową i w bezprecedensowym geście opublikował ceny, jakie oferował za exploity zero-day w zamian za milczenie hakerów.
„Pierwszą zasadą branży zero-day jest, aby nie dyskutować publicznie na temat cen” – pisał Bekrar w wiadomościach dla reporterów. „A kuku, niespodzianka! Prezentujemy nasz cennik”. Oferował 80 tysięcy dolarów za exploity dla przeglądarki Chrome Google’a, 100 tysięcy za exploity dla Androida. Najwyższa cena – 500 tysięcy dolarów – została zarezerwowana dla iPhone’a.
Wraz z rosnącą liczbą klientów Zerodium rosły również wypłaty Bekrara. W 2015 roku Zerodium zatweetował ofertę o wartości 1 miliona dolarów za kopalnię złota: zdalny jailbreak iPhone’a, czyli łańcuch exploitów zero-day, które umożliwiłyby jego rządowym klientom zdalne szpiegowanie użytkownika iPhone’a. Do 2020 roku ceny wzrosły i Bekrar oferował już 1,5 miliona dolarów za exploity, które umożliwiały zdalny, bez najmniejszego kliknięcia, dostęp do cudzych wiadomości WhatsAppa oraz iMessage firmy Apple. Jailbreak iPhone’a wycenił na 2 miliony dolarów, a – co ciekawe – jailbreak Androida na 2,5 miliona dolarów.
Exploity do Apple’a przez długi czas przynosiły krocie.
Niektórzy postrzegali zmianę na pozycji lidera jako dowód na to, że bezpieczeństwo Apple’a słabnie. Inni zwrócili uwagę na pewien niuans – jednolity system Androida nie istnieje, gdyż każdy producent dostosowuje go nieco do swoich wymagań. Jailbreak jednego modelu Androida może nie działać na innym, co sprawia, że zdalny atak, który sprawdza się w obrębie wszystkich urządzeń z systemem Android, jest tym bardziej wartościowy.
Taki ruch spotkał się z dużą niechęcią środowiska. Bekrar rozwiał wszelkie wątpliwości co do tego, czy hakerzy dysponują znacznie lepszymi opcjami niż gratyfikacje od Google’a. W związku z tym, że liczba krytycznych błędów zgłaszanych do Google’a zmalała, firma nie miała innego wyjścia, jak po raz kolejny podnieść swoje stawki, i w 2020 roku oferowała najwyższą kwotę za pełny, zdalny jailbreak telefonu z systemem Android, czyli 1,5 miliona dolarów.
Wyścig zbrojeń rozpędzał się na całego. Jednak Google miał jedną wielką przewagę nad każdym Zerodium świata. Pośrednicy żądali milczenia. Łowcy nagród Google’a mieli pełną swobodę prowadzenia otwartej dyskusji na temat swojej pracy, przez co łatwiej było im uniknąć szemranych zakamarków branży.
Nicole Perlroth
Powyższy tekst jest fragmentem książki Nicole Perlroth – Cyberbroń i wyścig zbrojeń wydanej przez wydawnictwo MT Biznes, której recenzję zamieszczamy w tym numerze.