sábado, 31 de agosto de 2013

Bem como qualquer agência, a NSA contrata empresas para ajudar em suas funções. Mas o que foi descoberto por meio de alguns documentos é que boa parte dessas contratações vão para empresas com origem meio duvidosa, a agência está enviando dinheiro em troca de malwares usados para espionar governos de outros países.
Apenas esse ano, a NSA secretamente gastou mais de 25 milhões procurando vulnerabilidades de software de vendedores de malware privados, de acordo com relatórios.
Empresas como Microsoft já alertam o governo das falhas de seus sistemas antes mesmo de serem desenvolvidas correções, permitindo que a NSA tenha a chance de criar exploits para essas falhas, mas estão indo muito mais além, procurando pela internet pessoas que tenham falhas que nem os fabricantes saibam que exista - vulnerabilidades estas conhecidas como "zero-days".
A pergunta que fica é, de quem a NSA está comprando?
Um dos mais famosos no ramo é a Vupen, uma empresa francesa especializada em vender exploits zero-day. Em 2011, um documento disponibilizado publicamente pelo WikiLeaks mostrou que a Vupen poderia entregar códigos de exploits exclusivos descobertos pelos seus pesquisadores de segurança.
"Esta é uma abordagem segura e confiável de ajudar agências e investigadores em atacar e ganhar acesso a computadores remotamente", descreve o documento.
Tirando vantagem deste serviço, governos podem comprar o plano de assinatura anual. A assinatura vem com um número de créditos que são gastos comprando zero-days. Quanto mais sofisticado os bugs mais créditos são necessários.
Em 2012, pesquisadores da Vupen descobriram um bug no Google Chrome, o que poderia render cerca de 60 mil dólares do Google, mas optaram por por a venda o código por um valor muito maior. A empresa também anunciou que irá abrir um escritório bem próximo do centro de operações da NSA, em Fort Meade.
O WikiLeaks identificou um total de 100 empresas participando da vigilância eletrônica, mas nem todos estão envolvidos com a venda de vulnerabilidades de software.
Zero-days são particularmente efetivos e podem ser vendidos por centenas de milhares de dólares cada.
O mercado existe em uma área cinza. Além desse ponto, está a NSA com algo similar a um mercado negro, apoiando a comercialização deste tipo de coisa.

0 comentários:

Postar um comentário

Subscribe to RSS Feed Follow me on Twitter!