Những lỗ hổng bảo mật (zero-day) càng nguy hiểm lại càng có giá. Xin được trích lược bài viết trên tạp chí Forbes về thị trường kinh doanh mặt hàng “đặc biệt” này.
Mua bán lỗ hổng bảo mật trị giá hàng trăm nghìn USD
Phải làm gì sau khi phát hiện một lỗ hổng bảo mật trong một thiết bị như iPad hay iPhone hoặc một chương trình phần mềm/hệ điều hành đang được rất nhiều người sử dụng như Mac OS X hay Windows? Bạn có thể báo cáo với Apple để có cơ hội trình bày phát hiện của mình tại hội nghị bảo mật do hãng này tổ chức để được nổi tiếng, hoặc bạn sẽ nhận được phần thưởng tối đa 10.000 USD nếu chia sẻ tại sự kiện Zero Day Initiative do HP chủ trì.
Nhưng nếu quen biết một chuyên gia bảo mật mang bí danh “The Grugq”, hiện đang sống tại Bangkok, Thái Lan, bạn sẽ có lựa chọn thứ ba: nhờ người này đóng vai trò trung gian để bán phát hiện về lỗ hổng an ninh của bạn cho một cơ quan chính phủ và được trả khoảng 250.000 USD, chưa kể 5% hoa hồng cho The Grugq.
Ví dụ trên chỉ là một trong số rất nhiều thương vụ mà Grugq đã dàn xếp thành công trong hơn một năm qua, đã mang lại cho Gruqg tài sản lên đến gần 1 triệu USD trong năm nay. Chỉ mới một tháng trước, Grugq đã sắp xếp thành công một cuộc gặp giữa một lập trình viên iOS và một đại diện Chính phủ Mỹ với “hàng” là một lỗ hổng nghiêm trọng bên trong hệ điều hành di động của Apple.
Ngay với số tiền 250.000 USD Grugq có được từ phi vụ, anh vẫn cho rằng mình “đã có thể có nhiều hơn thế”. “Tôi nghĩ mình đã hớ, người mua khi đó đã quá vui mừng” - Grugq trả lời phóng viên tạp chí Forbes.
Mức giá sáu con số cho một lỗ hổng bảo mật có vẻ khó tin nhưng lại hoàn toàn khả thi. Sau chuyến điều tra và nghiên cứu thị trường bí mật song lại hợp pháp này, tờ Forbes đã tổng hợp được một “bảng giá” các lỗ hổng zero-day như sau:
“Bảng giá” lỗ hổng bảo mật tương ứng từng lọai phần mềm, trình duyệt web và hệ điều hành (máy bàn lẫn di động)
| STT | Hệ thống, Phần mềm | Giá trị lỗi bảo mật |
| 1 | Adobe Reader | 5.000 - 30.000 USD |
| 2 | Mac OSX | 20.000 - 50.000 USD |
| 3 | Android | 30.000 - 60.000 USD |
| 4 | Flash, Java Browser Plugins | 40.000 - 100.000 USD |
| 5 | Microsoft Word | 50.000 - 100.000 USD |
| 6 | Windows | 60.000 - 120.000 USD |
| 7 | Firefox or Safari | 60.000 - 150.000 USD |
| 8 | Chrome or IE | 80.000 - 200.000 USD |
| 9 | iOS | 100.000 - 250.000 USD |
Các yếu tố góp phần định giá một lỗ hổng dựa vào mức độ phổ biến của phần mềm hoặc chương trình chứa nó, cũng như độ khó trong việc bẻ khóa (crack) chương trình đó. Chẳng hạn, một phương thức cho phép hacker chiếm quyền điều khiển một máy Mac OS X thường rẻ hơn phương thức tương tự trên Windows, bởi thị phần rộng lớn của hệ điều hành này.
Song một lỗ hổng trên iOS lại có giá hơn một lỗi trên Android, do việc hack vào hệ thống iOS đòi hỏi nhiều công sức và kỹ năng cao cấp hơn.
Theo lời Grugq, đã có những tổ chức trả 250.000 USD cho Comex (cha đẻ của công cụ Jailbreakme 3.0) để đổi lấy cách thức tấn công hệ điều hành di động của Apple.
Những người mua bí ẩn đó là các chính phủ nhiều nước phương Tây, đặc biệt là Mỹ.
Đối với Grugq, vốn mang quốc tịch Nam Phi, việc anh hầu như chỉ giao dịch với các đối tác châu Âu và Mỹ không vì lý do sắc tộc, mà chỉ bởi những người ở đây chịu chi nhiều hơn. Các thị trường khác như Nga, Trung Quốc, Trung Đông và phần còn lại của châu Á tiềm ẩn quá nhiều rủi ro và hạn chế, khiến giá của mặt hàng đặc biệt này luôn thấp và bị ép giá đối với bên bán.
Grugq cũng không đơn độc trong cuộc chơi này, nhiều doanh nghiệp tư nhân khác như Vupen (Pháp), Endgame và Netragard (Mỹ), thậm chí cả các tập đoàn quân sự lớn như Northrop Grumman, Raytheon cũng tham gia thị trường mua đi bán lại các lỗ hổng bảo mật.
Vậy tại sao không chỉ việc bán thẳng các phát hiện về lỗi bảo mật cho chính những hãng sản xuất phần mềm, để họ kịp thời cập nhật bản vá cho các khách hàng của mình? Những doanh nghiệp công nghệ như Mozilla và Facebook có mức thù lao vài ngàn USD cho các lỗ hổng được phát hiện. Đối với gã khổng lồ tìm kiếm Google, con số tối đa thường là 3.133,70 USD cho thông tin về các lỗ hổng thuộc hàng “tinh vi” nhất trong những sản phẩm của hãng này như Google Chrome, Chrome OS…, thứ chỉ những hacker “ưu tú” nhất mới đủ trình độ tìm ra.
Song tấm chi phiếu bốn con số không đủ hấp dẫn những người như Grugq. “Nếu muốn họ có thể mua chúng với giá thị trường như bao người khác. Họ đã có email liên lạc của tôi rồi” - Grugq kết thúc buổi phỏng vấn với phóng viên tờ Forbes.
CHÚ Ý: để được cảnh báo virus và được Tư vấn Hỗ trợ và nhận Key Download mới nhất của phần mềm diệt Virus này hãy Tham gia nhóm Facebook tại đây
Theo TTO
Các tin khác liên quan cùng chủ đề
- Lỗ hổng bảo mật nguy hiểm của Remote Desktop Protocol - RPD trên các máy chủ
- Lỗ hổng bảo mật zero day của Flash và Adobe Reader
- Bkav WebScan - Dịch vụ quét lỗ hổng bảo mật an toàn Website trực tuyến dành cho Webmaster
- Bkav WebScan - Quét các lỗ hổng an ninh và bảo mật cho Website
- Khai thác thành công hai lỗ hổng zero-day trên trình duyệt Internet Explore 9
- Lỗi bảo mật trên các Website Joomla giúp hacker chiếm quyền điều khiển
- Tin tặc khai thác lỗ hổng tấn công hệ thống Windows 64 bit
- 431 triệu người và 114 tỷ USD bị lừa đảo trên thế giới
- AV Test đánh giá CMC Mobile Security không đáng tin cậy do chạy phiên bản cũ
- BKAV Mobile Security đặt mục tiêu nằm trong top phần mềm bảo mật trên di động trên toàn thế giới
- Bkav Mobile Security với khả năng diệt Virus, Bảo mật và Chống trộm hiệu quả
- Bkav Mobile Security được bán tại các siêu thị điện thoại từ 6-2012
