Foto: Kaspersky / Divulgação
Da África do Sul à Coreia do Sul, o negócio de descobrir
brechas de seguranças e bugs em sistemas está crescendo para os
hackers, segundo reportagem do The New York Times. As falhas encontradas
pelos programadores podem dar acesso a sistemas como o Windows, da
Microsoft, e permitir ao comprador do segredo acesso ao computador de
qualquer companhia ou governo que use o sistema.
Até alguns anos atrás, os bugs descobertos eram vendidos
às próprias fabricantes do software defeituoso. Microsoft e Apple, por
exemplo, pagam por essas informações - e Redmond inclusive aumentou o
valor máximo por erro para US$ 150 mil no mês passado. O Facebook gastou
US$ 1 milhão desde 2011, quando iniciou seu programa de recompensas, e o
Google paga até US$ 20 mil por falhas encontradas no navegador Chrome. A
Apple não tem uma iniciativa de recompensa, e diz-se no ramo que uma
falha no iOS uma vez foi vendida por US$ 500 mil.
Mas atualmente os governos pagam por esse tipo de
informação do que as companhias desenvolvedoras dos softwares, uma vez
que países podem explorar os dados para conseguir estar à frente - ainda
que por tempo limitado - de nações rivais com que travam disputas. De
acordo com companhias do setor, uma falha custa hoje, em média, entre
US$ 35 mil e US$ 160 mil. Um dos modelos de negócio exige US$ 100 mil de
assinatura anual, para olhar o "catálogo" de falhas e, uma vez
escolhida a brecha desejada, cobra por cada item separadamente.
Os profissionais do ramo chamam essas falhas de "zero
days" - algo como "tempo zero", em tradução livre -, em referência ao
fato de que o usuário não tem tempo nenhum de se proteger: a falha
vendida pode ser usada imediatamente por quem a comprar.
"Governos estão começando a dizer, 'para proteger meu
país, preciso encontrar vulnerabilidades em outras nações'", afirma
Howard Schmidt, ex-coordenador de cibersegurança da Casa Branca. "O
problema é que estamos essencialmente ficando menos seguros", contrapõe.
O jornal americano cita dados da Symantec de que falhas
'zero days' persistem por cerca de 312 antes de ser detectada - nesse
tempo, a brecha pode ser explorada por golpistas ou governos. Os Estados
Unidos seriam um dos países compradores desse tipo de informação, de
acordo com os dados vazados pelo ex-agente da CIA Edward Snowden sobre o
esquema de vigilância em massa do governo americano através da agência
nacional de segurança ianque (NSA).
Mas os EUA não estariam sozinhos. Israel, Reino Unido,
Rússia, Índia e Brasil investiriam pesado na compra desses bugs. A
Coreia do Norte e agências de inteligência em alguns países do Oriente
Médio também, segundo Luigi Auriemma e Donato Ferrante, dois
profissionais do ramo que moram em Malta e falaram ao NYT. De acordo com
o Centro para Estratégias e Estudos Internacional, de Washington,
países da Ásia como Malásia e Singapura, completam a lista.
A negociação entre hackers e governos é feita por
corretores, que cobram 15% do valor do negócio em comissão. Em alguns
casos, o programador que descobre a falha ganha um adicional por cada
mês em que o bug não é arrumado - ou seja, em que a brecha continua
aberta ao invasor.
Mas o lado confidencial é essencial ao negócio desses
corretores. Um dos mias famosos, que atua de Bangcoc e atende na conta
Grugq do Twitter, deu entrevista à revista Forbes no ano passado e viu
as transações diminuírem, porque os clientes ficaram desconfiados.
Apesar disso, de acordo com o jornal americano, a
abordagem não precisa ser discreta. A reportagem cita quatro startups
que anunciam que vendem vulnerabilidades para fins de ciberespionagem e,
em alguns casos, ciberataque.
Uma delas, onde atua um ex-gerente da NSA, afirma que
oferece suas ferramentas para encontrar brechas primeiramente ao governo
americano. Outra, diz que todos os seus clientes são americanos. Uma
terceira alega que não vende a países com os quais a União Europeia, os
EUA ou a ONU têm embargo.
O mercado, alegam todos os players, começou a crescer em
2010, quando Estados Unidos e Israel compraram falhas para atacar o
sistema iraniano de enriquecimento de uranio. Agora, mais países pagam, e
pagam melhor, para obter essas informações. Hackers afirmam que não é
possível escolher os clientes, ou o profissional acaba "escanteado".
Alguns, inclusive, defendem que não se deve entregar de graça
conhecimento profissional. "Há sempre alguém interessado em pagar",
lamenta Schmidt, ex-Casa Branca.
Fonte: Terra
0 comentários:
Postar um comentário