Chyby nad zlato
Zdravím vás u dalšího newsletteru. V dnešním vydání naleznete:
- Chyby nad zlato. Jak se kšeftuje s kritickými chybami v softwaru, aby vás někdo mohl sledovat.
- Slovensko a volby. Do Česka prosákl temperament našich sousedů. Zatím ale nepanikařme
- Našel jsem svou náhradu za X, už jsem si tím jistý
Chyby nad zlato
Pro laika to zní skoro až neuvěřitelně, ale některé startupy zveřejňují ceníky, podle nichž od bezpečnostních expertů a hackerů odkupují chyby v softwaru, o kterých vývojáři neví. Tyhle chyby pak slouží k tomu, že někdo může ovládnout třeba váš iPhone, Messenger, WhatsApp a podobně. Klienty těchto firem jsou většinou vlády a tomu odpovídá i cena. Přesto v porovnání třeba s raketou či tankem je znalost takové chyby ještě poměrně levná.
Jedním z těchto startupů je i společnost Crowdfense, která nabízí odměny za „dopadení chyby“ – její rétorika se podobá hledání renegáta na Divokém západě. Tyhle zranitelnosti známé jako „zero-days“ zjistí např. nějaký bezpečnostní expert, ale už ne vývojářský tým třeba z Applu. Místo toho, aby ten, kdo chybu objevil, nahlásil její existenci Applu a vývojáři ji bleskurychle opravili, prodá ji firmě jako Crowdfense, která ji pak přeprodá nějaké vládě.
Cílem Crowdfense je vytvořit něco jako jednoduché tržiště, protože když jste dobrý hacker a chcete svou práci prodat třeba Spojeným státům, nemusíte znát ty správné kontakty, a ještě těžší může být vyjednávání o ceně. Crowdfense tedy přebírá roli prostředníka, a navíc dá na balíček se zranitelností „své logo“. Tím buduje dlouhodobé vztahy se svými klienty, kteří ví, že se na tuto firmu mohou vždy obrátit, protože může mít zajímavé zboží v šuplíku.
- Za zero-days pro iPhony firma zaplatí 5 až 7 milionů dolarů
- Pro Android je to až 5 milionů
- Google Chrome 3 miliony
- Safari 3,5 milionu
- Imessage 3 až 5 milionů
- WhatsApp 3 až 5 milionů
(Cena jednoho tanku Leopard 2 je na trhu do 6 milionů dolarů.)
Ceník zero-days na Crowdfense si můžete prolistovat tady:
Výše vypsané položky jsou označované vykřičníkem, což znamená, že je po nich nejvyšší poptávka. Zákazníci z řad vlád a bezpečnostních složek tedy nejvíce touží právě po nich. Z podobných chyb také mohou vznikat mocné sledovací softwary, jako je například Pegasus, který dokázal ovládnout telefon, aniž by oběť musela klikat na podezřelý odkaz. Třeba v Polsku tímhle nástrojem vláda nelegálně sledovala přes 100 lidí včetně opozičních politiků.
To, zda Česká vláda využívá podobné nástroje, doteď nevíme. Víme jen, že české tajné služby s touto firmou jednali o potenciálním nákupu. To však neznamená, že by tuzemské bezpečnostní složky nemohly používat jiný podobný nástroj. Už WikiLeaks v roce 2014 odhalily, že česká policie nakupovala nástroje, které sloužily jako švýcarský nožík pro hackery, a doteď se na českém území koná veletrh spywaru jménem ISS World Prague, kam chodí na školení i lidé z ministerstev a policie.
Pojďme se vrátit k cenám Crowdfense. Ty postupně rostou a čím jsou vyšší, tím se dá předpokládat i vyšší zabezpečení požadovaného softwaru. To je i důvod, proč se za chyby v iPhonu či v operačním systému od Applu platí více. V roce 2022 byly podle ceníku na stránkách Crowdfense dokonce poloviční. Tenhle růst cen ilustruje válku ve zbrojení, protože softwarové firmy vynakládají na kyberbezpečnost čím dál větší prostředky a firmy, které v oboru kyberbezpečnosti podnikají, hodnotově výrazně rostou i na burzách.
Podle mého názoru je to, co dělá firma Crowdfense, slušně řečeno prasárna. Sdílím názor, že je morální povinností odborníků chyby hlásit vývojářskému týmu. Nehledě na to, že o firmě Crowdfense a jí podobných je vždy velmi složité zjistit bližší informace včetně té, s kým obchodují. Jak ukázala třeba kauza spywaru Predator, někdy může sledovací software končit u autoritativních režimů či nebezpečných milic. Navíc je velmi zarážející vidět obchod s něčím soukromím jako menu v luxusní restauraci.
Čelíme i sabotážím
Nebudu zabíhat do technických detailů, ale síťařským a linuxovým světem nedávno proběhla kauza známá jako XZ. Do tohoto nástroje se někdo pokusil sabotáží dostat zadní vrátka (backdoor) – tedy to, s čímž obchoduje i firma Crowdfense.
Fascinující je, že pachatel či pachatelé na tom museli pracovat roky a není vyloučené, že se o to mohla pokoušet i některá z tajných služeb. Kdyby chybu neodhalila vlastně náhoda, kdy si jeden z vývojářů všiml, že jeden proces pracuje o 500 milisekund pomaleji, než má, útočníci mohli ohrozit prakticky každý internetový server běžící na Linuxu. Tyto servery jsou v základech internetu, včetně důležitých finančních a vládních služeb.
V roce 2021 si vytvořil účet na GitHubu, důležité platformě pro vývoj softwaru nabízející bezplatný webhosting pro open-source projekty (což jsou prakticky téměř všechny součásti operačního systému Linux [liší se distribuce od distribuce]), uživatel JiaT75 (Jia Tan). Jia Tan se tehdy nezaměřil na XZ, ale zkusil propašovat chybu jinam. Ta vypadala jako opomenutí nováčka a vývojářský tým ji rychle opravil. Mohlo se ale jednat o přípravu na parádu, kterou rozjel právě s XZ.
V roce 2022 Jia Tan navrhl úpravy přímo pro XZ; pak se objevily záhadné účty, které tlačily na vývojáře, aby úpravu kódu přijali a zvýšili Jia Tanovi oprávnění v rámci týmu vývojářů oné části softwaru. Díky tomu se dostal k více pravomocem a začal pracovat na tom, aby se mu povedlo získat plnou důvěru komunity a týmu (čehož 7. ledna 2023 dosáhl). Mezitím se Jia Tan snažil systematicky maskovat změny kódu, které vedly ke konečné implementaci backdooru.
Trvalo to roky, bylo to sofistikované a hrálo se hodně s lidským faktorem a psychologií. Tenhle příběh bude mít nejspíše za následek také změnu procesů při vývoji citlivých open-source projektů.
Tenhle příběh, který se může zdát na první pohled lehce nesrozumitelný, jsem chtěl uvést právě proto, že ne všechny chyby vznikají nepozorností při psaní kódu. Neustále se bojuje o bezpečnost kyberprostoru a nástrojů, které využívají někdy i miliardy lidí po celém světě. Představa, že někdo Rusku či Číně prodá „chybu“ jako se dostat snadno na WhatsAppu je děsivá. Čínským obyvatelům by to nejspíše neuškodilo, protože WhatsApp nepoužívají, ale všichni ze Západu by byli doslova na ráně.