Hackeři i vlády využívají chyb v softwaru, aby dokázali ovládnout něčí mobil či počítač. Existují dokonce ceníky, za kolik takovou chybu je možné prodat, pokud ji člověk odhalí. Například díra v operačním systému iPhonu se ohodnocuje na miliony dolarů. Za ohodnocením poptávaných chyb se skrývá příběh o nekonečném závodu ve zbrojení: odměny za nalezení chyby za pět let zdvojnásobily.
Firmy jako Crowdfense si cení chyb v softwaru nad zlato. Jejich byznys model je postavený na tom, že nabídnou obrovské peníze za nalezení „díry“ v softwaru, kterou pak se svým vlastním logem prodají například cizí vládě či firmě, která vyvíjí spyware.
Minulý týden startup Crowdfense zveřejnil aktualizované ceníky, které umožní i laické veřejnosti nahlédnout do toho, za kolik se s chybami v softwaru může obchodovat. Když v roce 2019 firma zveřejnila svou poptávku, tak si chybu v operačním systému iOS, který pohání iPhony, cenila až na tři miliony dolarů. Teď je to po pěti letech dvojnásobek. Nemůže za to zdivočelá inflace, ale stále větší prostředky investované do kybernetické bezpečnosti.
Právě giganti jako Apple či Google si zkrátka nemohou dovolit, aby jejich vlajkové lodě představovaly pro uživatele bezpečnostní riziko, už jenom proto, že je používají i politici a vlivní byznysmeni. Přesto se zero-days, jak se nazývají tyto chyby, o nichž vývojáři zatím nevědí a nemohou je opravit, nikdy stoprocentně podchytit nedají. Podle dat Googlu v roce 2023 někdo zneužil 97 takových programovacích minel. Není to tolik jako v rekordním roce 2021, kdy se případy této hrozby skokově zněkolikanásobily na číslo 106 a od té doby zůstávají na podobných hodnotách. Roky předtím se však hladina pohybovala kolem třiceti.
Odměny pro „hledače chyb“ jsou tak vysoké, protože zatímco před několika lety to mohl zvládnout i jednotlivec, dnes je potřeba k nalezení celý tým odborníků. „Opatření, která prodejci zavádějí, fungují, a to se odráží i v ceně,“ řekl pro TechCrunch Paolo Stagno, ředitel výzkumu ve společnosti Crowdfense.
Jen pro ilustraci. Nejvíce žádané jsou chyby umožňující nahlédnout do něčích SMS, a to ještě ideálně bez toho, aby oběť musela klikat na podezřelé odkazy. Podobný princip používal třeba spyware Pegasus, který byl centrem obřího špehovacího skandálu v několika evropských zemí včetně sousedního Polska. Za tuhle díru by Crowdfense zaplatil až devět milionů dolarů. Prolomení iOS by vyšlo na šest milionů, Androidu pak na pět milionů. Žádané jsou i díry v aplikacích jako WhatsApp či iMessage po pěti milionech dolarů.
Cena se může zdát na první pohled vysoká, ale například jeden tank Leopard 2 by vyšel nejspíše na podobnou částku, přitom průnik do důležitého mobilního telefonu by mohl napáchat potenciálnímu nepříteli mnohem větší škody. Ve smartphonu se teď skrývá doslova celý život člověka – od bankovnictví po četné sociální a pracovní kontakty. Jeden mobil může inflitrovat například i velkou část teroristické organizace.
Crowdfense není zdaleka jedinou firmou, která podniká ve skupování děr v softwaru. Společnost Operation Zero ruského původu dokonce loni nabízela až 20 milionů dolarů.
Problém obchodníků s chybami v softwaru je ten, že veřejnost často nemůže tušit, u koho cenné informace skončí. V posledních letech vyšla najevo řada skandálů, kdy nebezpečný spyware končil i velmi nebezpečných organizací. Například společnost Intellexa prodávala svůj spyware Predator také autoritářským režimům, které ho pak zneužívaly ke špehování novinářů, aktivistů a opozice. Intellexa, stejně jako NSO Group, která stála za spywarem Pegasus, skončila na sankčním seznamu Spojených států.
Stagno, ředitel výzkumu ve společnosti Crowdfense pro TechCrunch řekl, že s Intellexou neobchoduje. To ale neznamená, že to nemůže dělat jiná z firem, které v oboru podnikají. NSO Group je sice na sankčním seznamu, přesto se objevuje na veletrzích – a to i v Praze, což ukázala třeba rozsáhlá reportáž e15. NSO Group je dokonce hlavním sponzorem veletrhu špionážní techniky v Praze jménem ISS World.
V minulosti také e15 popsala, že NSO Group nabízela tuzemským tajným službám svůj software Pegasus a připravila pro něj i prezentaci. Tehdy pomáhal jednání zprostředkovat končící velvyslanec v Izraeli Tomáš Pojar – nynější poradce premiéra Petra Fialy (ODS).
Zda nakonec někdo v Česku Pegasus koupil, není jasné. Ve vyšetřovací zprávě Evropského parlamentu po kauze Pegasus se píše, že tento software vlastní více evropských vlád, než kolik jich to přiznalo. Navíc se dá předpokládat, že podobný nástroj má k dispozici každý členský stát EU.
Je také zmapované, že chyby v softwaru a zadní vrátka využívá řada bezpečnostních organizací, například FBI. Když před skoro deseti lety hacknuli společnost jménem Hacking Team, tak uniklá data prozradila, že zákazníkem byla také česká policie. Uniklá data ukazují, že se s podobnými nástroji čile obchoduje i v Praze na již zmíněném ISS World, který má z evropského hlediska unikátní status a nemá moc na kontinentu svým rozsahem ani zastoupením konkurenci.
