Bán lỗ hổng phần mềm – ngành kinh doanh béo bở của hacker

Thị trường lỗ hỗng phần mềm máy tính đã biến thành một “mỏ vàng”. Doanh thu của các hacker và các công ty chuyên bán lỗ hổng này tăng lên gấp đôi mỗi năm do nhu cầu mua “mặt hàng đặc biệt” này ngày càng gia tăng. Và khách hàng của thị trường này chính là các chính phủ, những quốc gia muốn đột nhập vào hệ thống máy tính của các nước đối thủ.

Ngành kinh doanh béo bở

Trên toàn thế giới, từ Nam Phi đến Hàn Quốc, các hacker gọi ngành kinh doanh này là “zero days”, và nó đang bùng nổ mạnh mẽ. Những lỗi mã hoá trong các phần mềm như Microsoft Windows có thể mang lại cho người mua quyền truy cập thoải mái vào máy tính và bất kỳ công ty, cơ quan hay cá nhân nào phụ thuộc vào hệ thống máy tính đó.

Trên hòn đảo nhỏ bé Malta ở Địa Trung Hải, hai hacker người Italia đang ra sức tìm kiếm “bọ” – không phải là những con bọ cánh cứng của hòn đảo này, mà là những lỗi bí mật trong mã máy tính mà các chính phủ phải chi hàng trăm ngàn USD để tìm hiểu và khai thác.

 

Hai hacker đó là Luigi Auriemma, 32 tuổi và Donato Ferrante, 28 tuổi, chuyên bán chi tiết kỹ thuật của các lỗ hổng này cho những quốc gia muốn đột nhập vào hệ thống máy tính của các nước đối thủ. Tất nhiên, hai người không hề tiết lộ tên các khách hàng của công ty họ, công ty ReVuln, nhưng theo báo New York Times, những khách hàng lớn của các dịch vụ này bao gồm Cơ quan An ninh Quốc gia Mỹ (NSA).

Cách đây 10 năm, các hacker sẽ thông báo những lỗ hổng đó cho các công ty như Microsoft và Google miễn phí, hoặc chỉ để đổi lấy một chiếc áo T-shirt, hay một sự tôn vinh trên website công ty. Tuy nhiên, sau đó, những hacker như Auriemma và Ferrante sẽ bán các lỗi mã hoá này cho các công ty để họ sửa lỗi, và nhận lại một số tiền. Mới đây, Microsoft từng đưa ra giải thưởng 150.000 USD cho người nào sẵn sàng tìm kiếm các lỗi phần mềm. Tuy nhiên, số tiền các quốc gia trả cho những lỗ hổng này cao hơn nhiều so với số tiền các công ty trả cho hacker. “Các chính phủ sẽ nói rằng: để bảo vệ đất nước tôi tốt nhất, tôi cần tìm ra điểm yếu, các lỗ hổng của các nước khác”, Howard Schmidt, một cựu quan chức an ninh mạng của Nhà Trắng nói.

Giờ đây, thị trường lỗ hỗng phần mềm máy tính đã biến thành một “mỏ vàng”. Những tài liệu mà cựu điệp viên Cơ quan An ninh Quốc gia Mỹ (NSA), Edward J. Snowden, tiết lộ đã cho thấy Mỹ là một trong những khách hàng lớn chuyên mua các loại lỗ hổng lập trình này. Tất nhiên, Mỹ không phải là khách hàng duy nhất.

Israel, Anh, Nga, Ấn Độ và Braxin là một số những khách hàng lớn nhất của thị trường này. Theo Trung tâm Nghiên cứu Quốc tế và Chiến lược ở Washington, Triều Tiên cùng với một số dịch vụ tình báo Trung Đông cũng có tên trong danh sách khách hàng. Các quốc gia ở Châu Á Thái Bình Dương, trong đó có Malaysia và Singapore, cũng mua loại hàng hoá đặc biệt này.

Hoạt động sôi nổi và công khai

Để kết nối người bán và người mua, có hàng chục dịch vụ môi giới nổi tiếng chuyên tiếp thị thông tin về các lỗ hổng để lấy phần chiết khấu 15%. Một số nhà môi giới cá nhân, như nhà môi giới ở Bangkok với tên gọi “the Grugq” trên Twitter, rất nổi tiếng. Tuy nhiên, sau khi Grugq trả lời phỏng vấn tạp chí Forbes hồi năm ngoái, công việc kinh doanh của anh gặp nhiều khó khăn, chủ yếu vì các khách hàng yêu cầu sự bí mật cực cao.

Thị trường buôn bán lỗ hổng phần mềm đã cho ra đời nhiều công ty mới và hoạt động rất sôi nổi, công khai. Những công ty như Vupen ở Montpellier (Pháp), Netragard in Acton ở Massachusetts (Mỹ), Exodus Intelligence ở Austin, Texas (Mỹ) và ReVuln, công ty của hai hacker Auriemma và Ferrante, đều thoải mái và tự do quảng cáo cho “mặt hàng” mà họ bán ra, đó là các lỗ hổng phần mềm cho các gián điệp.

Mặc dù quảng cáo mạnh mẽ song không mộtcông ty nào tiết lộ tên của các khách hàng. Theo Adriel Desautels, người sáng lập hãng Netragard, cho biết giá bán các lỗ hổng phần mềm đã tăng gấp đôi trong 3 năm qua và hiện nay, một lỗ hổng trung bình có giá bán từ 35.000 USD đến 160.000 USD.

Chaouki Bekrar, người sáng lập công ty Vupen, nói rằng cứ mỗi năm doanh thu công ty lại tăng gấp đôi vì nhu cầu mua gia tăng. Vupen tính phí các khách hàng mức phí thuê bao hàng năm 100.000 USD để mua bán qua catalog của hãng và sau đó tính phí theo từng giao dịch. Chi phí phụ thuộc vào mức độ phức tạp của các lỗ hổng và sự phổ biến của hệ điều hành.

Nhiều công ty công nghệ đã bắt đầu xây dựng các chương trình “giải thưởng lớn”, trong đó họ sẽ trả tiền cho các hacker thông báo cho họ về các lỗ hổng trong hệ thống, để ngăn chặn việc hacker giữ bí mật về các lỗ hổng đó – hay tệ hơn là bán chúng trên “chợ đen”. Cách đây gần 1 thập kỷ, Mozilla Foundation đã bắt đầu một trong những chương trình giải thưởng lớn đầu tiên dành cho trình duyệt Firefox. Kể từ đó, Google, Facebook và PayPal cũng đi theo xu hướng này. Trong mấy tháng gần đây, mức thưởng đã tăng vọt.

 

Năm 2010, Google bắt đầu trả cho các hacker số tiền 3.133 USD – đây là số tiền danh cho những hacker đã đạt mã “elite” (ưu tú) – nếu họ tìm ra các lỗ hổng trong trình duyệt web Chrome của Google. Tháng trước, Google đã tăng giải thưởng tiền mặt lên 20.000 USD cho những lỗ hổng tìm thấy ở những sản phẩm được dùng rộng rãi. Facebook cũng có chương trình tương tự vào năm 2011 và kể từ đó mức thưởng của Facebook đưa ra đã lên đến 1 triệu USD.

Microsoft, từ lâu vẫn nổi tiếng với những chương trình như thế này, tháng trước cũng đã tăng số tiền thưởng cho hacker lên đến 150.000 USD cho những thông tin về một lỗ hổng, nếu họ còn cung cấp thêm cả cách sửa lỗi đó.

Apple vẫn chưa có chương trình nào, nhưng các lỗ hổng của họ cũng đang là một trong những “mặt hàng” được tìm nhiều. Từng có trường hợp một lỗ hổng trong hệ điều hành iOS của Apple được bán ra với giá lên tới 500.000 USD.

New York Times cho rằng, chính Mỹ đã tạo ra thị trường này. Khi Mỹ và Israel sử dụng một loạt các lỗ hổng – trong đó có một lỗ hổng trong chương trình font chữ của Windows – để tạo ra một cuộc chiến nổi tiếng với tên gọi “sâu Stuxnet”, một loại vũ khí tin học phức tạp được dùng để tạm thời ngăn chặn khả năng làm giàu uranium của Iran, họ đã cho cả thế giới thấy tiềm năng của thị trường này.

Thậm chí, ngày nay các hacker như Auriemma, người từng cung cấp các phát hiện về lỗ hổng phần mềm cho các hãng phần mềm và các công ty diệt virus, đang cho rằng “Phát hiện ra lỗ hổng bảo mật là kết quả của quá trình làm việc chuyên nghiệp và nghiêm túc của chúng tôi, vì thế cung cấp miễn phí các kết quả này cho một công ty là điều trái đạo đức, nhất là khi cung cấp nó cho những hãng bảo mật và họ sẽ giàu lên nhờ những nghiên cứu của chúng tôi”.

Theo XHTT