Nations Buying as Hackers Sell Flaws in Computer Code 2013.07.14
国がハッカーとしてコンピュータコードの欠陥を買う。
マルタの小さな地中海の島で、2人のイタリア人ハッカーがバグを探していましたー島の多くのカブトムシの品種ーではなくて、コンピュータコードの秘密の欠陥を。
政府はこれを知って利用する為に 数十万ドルを支払います。
ハッカー、ルイージアウリマさん、32歳、ドナートフェランテ、28歳は、外国の敵のコンピューターシステムに侵入したい国にそのような脆弱性の技術的詳細を販売しています。
二人は自分の会社、ReVulnのクライアントを明らかにしませんが、彼らのようなサービスの大きな買手は 彼らはアメリカの拡大するサイバー戦争の武器の欠陥を探している
国家安全保障局(NSA)や、イラン革命防衛隊のようなアメリカの敵です。
南アフリカから韓国まで世界中で、 ハッカー達が"zero-day”と呼ぶビジネスは急成長を遂げています。
マイクロソフトWindowsのソフトにあるコーデングの欠陥のように、(情報を)買った人が其れによってどんなビジネスでも会社でも個人でも、コンピューターへの
自由なアクセスができます。
ほんの数年前、オウリウマさんとフェランテようなハッカーは、マイクロソフトやアップルのような企業に欠陥のコーディングの知識を販売していたのでしょう、
そして彼らはこれを修正しました。
先月、マイクロソフトが急激にそのような欠陥のために支払っていた額を増加させ 最高は15万ドルに引き上げた。
しかし、3年前の夏に 米国とイスラエルは、後に"Stuxnet"として知られる事になったコンピュータウイルスでイランの核濃縮プログラムを攻撃し一時的とはいえ
成功したことにより、このビジネスはますます欠陥を悪用することを目的とする国によって高値になってきている。
欠陥は、一度発見された事から名前をつける、”zero-day”の存在はハッカーが脆弱性を利用することができる前に、それらを修正するために、コンピュータシステムのユーザーのために存在する。
”zero-day”アタックは、何ヶ月もの観察の後にまだ発見されていない警報を鳴らさずに家に侵入するルートが有るのを強盗が発見するように、誰もがまだ存在を知らない欠陥をつかってハッカーや政府が攻撃する時に起きる。
"政府は、言い始めている、'最高に自分の国を守るために、私は他の国の脆弱性を見つける必要がある、'"、"問題は、我々すべてが根本的に安全性が低くなるということです。"、
とハワード·シュミット氏、元ホワイトハウスのサイバーセキュリティコーディネーターは述べています。
”zero-day”バグはハッカーがパスワードを要求するオンラインアカウントを発見するのと同じくらい簡単ですが、実際には入るためにタイプ1つを入力する必要も無いのかもしれません。"Enter"キーを押すことでシステムをバイパスすることでzero-day脆弱性となります。
ウイルス対策ソフトウェアのメーカーのシマンテックよると平均的な攻撃は、ほぼ1年間- 321日 - それが検出されるまで持続し。それ迄は犯罪者と政府の両方により悪用や "兵器化されて"、スパイや盗みや彼らの目標を攻撃します。
10年前、ハッカーはTシャツやおそらくWebサイト上の名誉と引き換えに、MicrosoftやGoogleへただでそのような欠陥についての知識を渡してただろう。今日でも、中国ではいわゆる愛国的ハッカーが定期的に政府に情報を手渡している。
現在、コンピュータの脆弱性の情報市場はゴールドラッシュになっています。
旧NSAによって分類された文書を漏洩したコンサルタントのエドワードJ.スノーデンは米国はプログラミング欠陥の買い手達だと明らかにした。 しかし殆どそれだけでは無い。
イスラエル、英国、ロシア、インド、ブラジル、最大の顧客の一部です。
ワシントンの戦略国際研究センターによると、北朝鮮やいくつかの中東の諜報機もあり、マレーシア、シンガポールを含むアジア太平洋地域の国々も購入しているという。
売り手と買い手を適切に接続するため数十のブローカーの現在の欠陥の市場情報が15%引きで取引されている。
市場に関与するいくつかの人々によると、幾つかのハッカーは欠陥が発見されていない毎月のロイヤリティ料を収集契約料を得る。
バンコクでTwitter名"Grugq"で通る幾人かの個々のブローカーは、よく知られている。
しかし、昨年 Grugqがフォーブス誌に話した後、インパクトに精通者によると、主に買い手が機密を要求したので、彼のビジネスは広報から打撃を受けた。
ブローカーのアプローチに気を使う必要はありません。
"コードの実行が緊急に必要"、ビリー·リオスに1昨年 業者の仲介者から送信されたEメールの件名を読むと、
ー彼はMicrosoftとGoogleの元セキュリティエンジニアで 今はCylanceのディレクター、セキュリティ企業を始めた。ー
"親愛なる友人、で"電子メールが始まって。
"あなたは任意のコード実行の脆弱性を持っていますか、Windows 7、Mac、ブラウザ、オフィス、アドビ、SWFなどの任意のアプリケーション用の"
"はいの場合は" 電子メールは続けて、"支払いが問題ではありません。" (でおわる)。
=======2ページ目=======
より確立された軍事請け負い業者を排除して脆弱性を売りたいと思っている新規開業者にとって有利な機会になって来ている。
モンペリエ、フランスのVUPEN、アクトン、マサチューセッツ州のNetragard、オースティン、テキサス州のエクソダスインテリジェンス、そしてReVuln氏Auriemma氏フェランテのマルタ会社のような企業は、彼らがサイバスペースのつまらない仕事やある場合にはサイバー戦争の武器の為に欠陥に対する知識を売ると、自由に広告している。
ワシントン外のバージニア州で起業したEndgame社(N.S.A.の元ディレクターが大きな役割を果たしている) はその能力の詳細についてはとらえどころのない。
しかし、彼らは沢山のツールを開発して主に米国政府に販売している。それは脆弱性を発見しサイバスペースの詰らない事と戦う事や、攻撃的な目的に使用出来る。
ReVulnと同様に、企業のいずれも、顧客の名前を開示していないだろう。
しかしAdriel Desautels、Netragardの創設者は、彼の顧客は"厳密に米国がベース"でNetragardの "活用取得プログラム"は、過去3年間で倍増したと言う。平均的な欠陥は現在約$35,000から16万ドルで販売している。
Chaouki Bekrar、VUPENの創設者は、彼の会社が "欧州連合(EU)、米国や国連制限や禁輸の対象"にある国々に販売していないと述べ、彼はまた、需要が急増したとして、売上高は毎年倍増していると述べた。
VUPENは顧客に初期にそのカタログを通し買い物をする購読料として年次10万ドル、販売ごとに費用を請求する。
費用は、脆弱性の複雑さとオペレーティングシステムの普及度合いに依存します。
ReVulnは産業用制御システムでのリモート脆弱性を見つけることを専門としています。これは水処理施設、石油と天然ガスのパイプラインや発電所にアクセスしたり混乱させるのに使います 。
"彼らは故意の失明に関係している"とアメリカ自由人権協会のシニア政策アナリストのクリストファーSoghoianは言います。
多くのテクノロジー企業は"バグ報奨金"プログラム、それは、ハッカーが彼らのシステムのバグについてハッカーが自身で欠陥を持ったままにする、更に悪い事に闇市場で売るよりは、言ってくれれば彼らがハッカーに払う事を開始しました。
ほぼ十年前のMozilla FoundationはそのFirefoxブラウザのバグのために支払う最初の賞金プログラムの一つを開始しました。 以来、Google、FacebookやPayPalはすべてこれに続いていて。ここ数カ月の間に、報奨金が急増している。
2010年には、Googleは最大$3,133.70をハッカーに払い始めた 、 WebブラウザのChromeのバグで この数値はハッカーのコード"エリート"だ。
先月、Googleは広く使われている製品の一部で見つかった欠陥の賞金を$20,000へ増加させた。
Facebookは2011年に同様のプログラムを開始して以来、100万ドルを支払った。(一つは2500ドル*13年を含み、大多数の単一バグは20,000ドル支払っている。)
"プログラムは一日で価値が何もないかもしれないバグを保持する為にインセンティブを損なう、Facebookの最高セキュリティ責任者"ジョー·サリバン、は述べている。
また、倫理的ハッカーをそのバグを使用する悪意のある使用に勇気付け促す、意図しない効果を持っていた。
"我々は、別の人が悪意を持って使用することを計画してしまうバグを見逃すことで人々を傷つける他のハッカーたちを見てきました"と彼は言った。
長い間このようなプログラムに抵抗していたマイクロソフトは先月180度転換して、ハッカーがまたそれを防御するための方法を提供する場合、最大で単一欠陥について15万ドル支払うことを発表した。
Appleはまだそのようなプログラムを持っていませんが、その脆弱性が最も切望されている。あるケースでは、売却について説明を受けた二人によると、AppleのiOSへのzero-day攻撃は、50万ドルで販売されました。
それでも、ACLUのSoghoian氏は"政府が支払うものに比較して、恵みが薄い"と述べ。彼は言う、"軍体制は市場に餌をやる事によって、フランケンシュタインを作ってしまった。"
多くの点で、米国政府は市場を作成しました。
米国とイスラエルは一連の欠陥(Windowsフォントプログラムの一つを含め)を使用し、後にStuxnetウイルスとして知られる複雑なサイバー兵器を使って一時的にイランのウラン濃縮能力を駄目にした 。それは世界にそれが可能だったことを示した。 それはまた、サイバー武装レースの起爆材になった。
Stuxnetコードが2010年夏にイランのナタンツ核濃縮工場の外に漏れた時に、その欠陥は突然新しい価値となった。
続いて複雑な政府の支援しで作ったコンピューターウイルスFlame と Duqu(これはイランにあるコンピュータをスパイするために欠陥を使用した)の発見が唯一関心を煽った。
"私はそれは、これがどうなるか誰も予想していないといえると思います"と初期のアメリカとイスラエルの戦略に関与していた一人は言った。
"そして今日、誰もそれが何処で終わろうととしているかわからないです。"
2007年の予測論文で、元NSAで従業員チャーリー·ミラーはハッカーのための有益な選択肢を彼らが、無料のベンダーに上の欠陥についての彼らの情報になったか、または今はHewlett-Packardによって運営されているTipping Point’s Zero Day Initiativeのようなプログラムに数千ドルで販売し、彼らのセキュリティ研究を強化するために使用される、と説明した。
彼は一つのアメリカの政府機関が彼にLinuxのバグのために如何に1万ドルを提供したかを説明しました。
彼は別に$ 80,000を求めた、 "直ぐに合意して、”早すぎる、"、 "私はおそらく十分に求めていなかった"と Miller氏は書いている。
バグは、Linuxの特定のフレーバでは動作しなかったため、Miller氏は、最終的に5万ドルでそれを販売した。
しかし、彼と彼の仲間のハッカーの結果ははっきりしていた:欠陥を売って作った本物のお金がありました。
彼らの取り決めで、ハッカーは "只のバグは充分だ"と読める警告を始めました。
ソフトウェアベンダーとアンチウイルスメーカーにそのバグを譲っAuriemmaさんのようなハッカーは今では自分たちの権利を主張する組合主催者のように聞こえる。
ミスターAuriemmaさんは言った。
"ベンダーに無料でプロの仕事を提供することは非倫理的であり、" "自分の研究でビジネスをするセキュリテー会社に無料でプロの仕事を提供することはさらに非倫理的である。"
専門家は、政府機関が最大の参加者の一部であるに市場を規制するために限られたインセンティブがあると言う。
"あなたはあなたとビジネスを行う人を制限しようとした場合、あなたは締め出される可能性がある"
"誰かが何百万ものデバイスに影響を及ぼす可能性のあるバグを持ってあなたのところは来て”あなたが私に金を払えばあなたはこれをもっている唯一の人になる”と言えば、常にそれを支払いたい人があるだろう”とミスター·シュミットは言った。
彼は言った、"残念なことに"、 "サイバースペースでは悪魔と踊ることはかなり一般的です"。
=======英語原文は以下=======
On the tiny Mediterranean island of Malta, two Italian hackers have been searching for bugs — not the island’s many beetle varieties, but secret flaws in computer code that governments pay hundreds of thousands of dollars to learn about and exploit.
The hackers, Luigi Auriemma, 32, and Donato Ferrante, 28, sell technical details of such vulnerabilities to countries that want to break into the computer systems of foreign adversaries. The two will not reveal the clients of their company, ReVuln, but big buyers of services like theirs include the National Security Agency — which seeks the flaws for America’s growing arsenal of cyberweapons — and American adversaries like the Revolutionary Guards of Iran.
All over the world, from South Africa to South Korea, business is booming in what hackers call “zero days,” the coding flaws in software like Microsoft Windows that can give a buyer unfettered access to a computer and any business, agency or individual dependent on one.
Just a few years ago, hackers like Mr. Auriemma and Mr. Ferrante would have sold the knowledge of coding flaws to companies like Microsoft and Apple, which would fix them. Last month, Microsoft sharply increased the amount it was willing to pay for such flaws, raising its top offer to $150,000.
But increasingly the businesses are being outbid by countries with the goal of exploiting the flaws in pursuit of the kind of success, albeit temporary, that the United States and Israel achieved three summers ago when they attacked Iran’s nuclear enrichment program with a computer worm that became known as “Stuxnet.”
The flaws get their name from the fact that once discovered, “zero days” exist for the user of the computer system to fix them before hackers can take advantage of the vulnerability. A “zero-day exploit” occurs when hackers or governments strike by using the flaw before anyone else knows it exists, like a burglar who finds, after months of probing, that there is a previously undiscovered way to break into a house without sounding an alarm.
“Governments are starting to say, ‘In order to best protect my country, I need to find vulnerabilities in other countries,’ ” said Howard Schmidt, a former White House cybersecurity coordinator. “The problem is that we all fundamentally become less secure.”
A zero-day bug could be as simple as a hacker’s discovering an online account that asks for a password but does not actually require typing one to get in. Bypassing the system by hitting the “Enter” key becomes a zero-day exploit. The average attack persists for almost a year — 312 days — before it is detected, according to Symantec, the maker of antivirus software. Until then it can be exploited or “weaponized” by both criminals and governments to spy on, steal from or attack their target.
Ten years ago, hackers would hand knowledge of such flaws to Microsoft and Google free, in exchange for a T-shirt or perhaps for an honorable mention on a company’s Web site. Even today, so-called patriotic hackers in China regularly hand over the information to the government.
Now, the market for information about computer vulnerabilities has turned into a gold rush. Disclosures by Edward J. Snowden, the former N.S.A. consultant who leaked classified documents, made it clear that the United States is among the buyers of programming flaws. But it is hardly alone.
Israel, Britain, Russia, India and Brazil are some of the biggest spenders. North Korea is in the market, as are some Middle Eastern intelligence services. Countries in the Asian Pacific, including Malaysia and Singapore, are buying, too, according to the Center for Strategic and International Studies in Washington.
To connect sellers and buyers, dozens of well-connected brokers now market information on the flaws in exchange for a 15 percent cut. Some hackers get a deal collecting royalty fees for every month their flaw is not discovered, according to several people involved in the market.
Some individual brokers, like one in Bangkok who goes by “the Grugq” on Twitter, are well known. But after the Grugq spoke to Forbes last year, his business took a hit from the publicity, according to a person familiar with the impact, primarily because buyers demand confidentiality.
A broker’s approach need not be subtle. “Need code execution exploit urgent,” read the subject line of an e-mail sent from one contractor’s intermediary last year to Billy Rios, a former security engineer at Microsoft and Google who is now a director at Cylance, a security start-up.
“Dear Friend,” the e-mail began. “Do you have any code execution exploit for Windows 7, Mac, for applications like Browser, Office, Adobe, SWF any.”
“If yes,” the e-mail continued, “payment is not an issue.”
=====P2 =====
For start-ups eager to displace more established military contractors, selling vulnerabilities — and expertise about how to use them — has become a lucrative opportunity. Firms like Vupen in Montpellier, France; Netragard in Acton, Mass.; Exodus Intelligence in Austin, Tex.; and ReVuln, Mr. Auriemma’s and Mr. Ferrante’s Maltese firm, freely advertise that they sell knowledge of the flaws for cyberespionage and in some cases for cyberweapons.
Outside Washington, a Virginia start-up named Endgame — in which a former director of the N.S.A. is playing a major role — is more elusive about its abilities. But it has developed a number of tools that it sells primarily to the United States government to discover vulnerabilities, which can be used for fighting cyberespionage and for offensive purposes.
Like ReVuln, none of the companies will disclose the names of their customers. But Adriel Desautels, the founder of Netragard, said that his clients were “strictly U.S. based” and that Netragard’s “exploit acquisition program” had doubled in size in the past three years. The average flaw now sells from around $35,000 to $160,000.
Chaouki Bekrar, the founder of Vupen, said his company did not sell to countries that are “subject to European Union, United States or United Nations restrictions or embargoes.” He also said revenue was doubling every year as demand surged. Vupen charges customers an annual $100,000 subscription fee to shop through its catalog, and then charges per sale. Costs depend on the sophistication of the vulnerability and the pervasiveness of the operating system.
ReVuln specializes in finding remote vulnerabilities in industrial control systems that can be used to access — or disrupt — water treatment facilities, oil and gas pipelines and power plants. “They are engaging in willful blindness,” said Christopher Soghoian, a senior policy analyst at the American Civil Liberties Union.
Many technology companies have started “bug bounty” programs in which they pay hackers to tell them about bugs in their systems rather than have the hackers keep the flaws to themselves — or worse, sell them on the black market. Nearly a decade ago the Mozilla Foundation started one of the first bounty programs to pay for bugs in its Firefox browser. Since then, Google, Facebook and PayPal have all followed suit. In recent months, bounties have soared.
In 2010, Google started paying hackers up to $3,133.70 — the number is hacker code for “elite” — for bugs in its Web browser Chrome. Last month, Google increased its cash prize to $20,000 for flaws found in some of its widely used products. Facebook began a similar program in 2011 and has since paid out $1 million. (One payout included $2,500 to a 13-year-old. The most it has paid for a single bug is $20,000.)
“The program undermines the incentive to hold on to a bug that might be worth nothing in a day,” said Joe Sullivan, Facebook’s chief security officer. It had also had the unintended effect of encouraging ethical hackers to turn in others who planned to use its bugs for malicious use. “We’ve seen people back-stab other hackers by ratting out a bug that another person planned to use maliciously,” he said.
Microsoft, which had long resisted such a program, did an about-face last month when it announced that it would pay hackers as much as $150,000 for information about a single flaw, if they also provided a way to defend against it.
Apple still has no such program, but its vulnerabilities are some of the most coveted. In one case, a zero-day exploit in Apple’s iOS operating system sold for $500,000, according to two people briefed on the sale.
Still, said Mr. Soghoian of the A.C.L.U., “The bounties pale in comparison to what the government pays.” The military establishment, he said, “created Frankenstein by feeding the market.”
In many ways, the United States government created the market. When the United States and Israel used a series of flaws — including one in a Windows font program — to unleash what became known as the Stuxnet worm, a sophisticated cyberweapon used to temporarily cripple Iran’s ability to enrich uranium, it showed the world what was possible. It also became a catalyst for a cyberarms race.
When the Stuxnet code leaked out of the Natanz nuclear enrichment plant in Iran in the summer of 2010, the flaws suddenly took on new value. Subsequent discoveries of sophisticated state-sponsored computer viruses named Flame and Duqu that used flaws to spy on computers in Iran have only fueled interest.
“I think it is fair to say that no one anticipated where this was going,” said one person who was involved in the early American and Israeli strategy. “And today, no one is sure where it is going to end up.”
In a prescient paper in 2007, Charlie Miller, a former N.S.A. employee, described the profitable alternatives for hackers who may have otherwise turned their information about flaws over to the vendor free, or sold it for a few thousand dollars to programs like Tipping Point’s Zero Day Initiative, now run by Hewlett-Packard, which used them to enhance their security research.
He described how one American government agency offered him $10,000 for a Linux bug. He asked another for $80,000, which agreed “too quickly,” Mr. Miller wrote. “I had probably not asked for enough.”
Because the bug did not work with a particular flavor of Linux, Mr. Miller eventually sold it for $50,000. But the take-away for him and his fellow hackers was clear: There was serious money to be made selling the flaws.
At their conventions, hackers started flashing signs that read, “No more free bugs.”
Hackers like Mr. Auriemma, who once gave away their bugs to software vendors and antivirus makers, now sound like union organizers declaring their rights.
“Providing professional work for free to a vendor is unethical,” Mr. Auriemma said. “Providing professional work almost for free to security companies that make their business with your research is even more unethical.”
Experts say there is limited incentive to regulate a market in which government agencies are some of the biggest participants.
“If you try to limit who you do business with, there’s the possibility you will get shut out,” Mr. Schmidt said. “If someone comes to you with a bug that could affect millions of devices and says, ‘You would be the only one to have this if you pay my fee,’ there will always be someone inclined to pay it.”
“Unfortunately,” he said, “dancing with the devil in cyberspace has been pretty common.”