Firma asta dubioasă te umple de bani dacă ești un hacker bun de iPhone

Un startup din Dubai oferă o căruță de bani celor care găsesc erori la Android, iOS, Windows sau Mac.
28.4.18
Imagine: Seth Laupus/Motherboard 

Articolul a apărut inițial pe Motherboard.

Un start-up oferă trei milioane de dolari pentru unelte de hack-uit telefoane Android sau iOS, cel mai mare preț oferit publicului pentru astfel de servicii.

Compania se numește Crowdfense, cu sediul în Emiratele Arabe Unite. Într-o mișcare neobișnuită din industria acestor „licitații” secrete, Crowdfense a publicat un comunicat de presă, promovând bonificația erorilor descoperite.

Exploatarea bug-urilor din software-urile de securitate este unealtă de hacking pentru orice dispozitiv cu un software de funcționare. De-a lungul anilor, îmbunătățirile din domeniul securității computerelor populare și smartphone-urilor au creat o industrie secretoasă și controversată, dedicată dezvoltării acestor unelte pentru agențiile guvernamentale, care au nevoie de ajutor pentru a hackui subiecții urmăriți.

Directorul executiv de la Crowdfense, Andrea Zapparoli Manzoni, mi-a spus că el și compania sa încearcă să omogenizeze piața, cumpărând exploatările de la cercetători independenți, după care le vinde agențiilor de securitate și autorităților de stat.

„Atunci când mă gândesc la agenții guvernamentale, nu mă gândesc la partea de armată, ci la partea civilă, care lucrează împotriva crimei, terorismului și chestiilor de genul”, mi-a spus Zapparoli într-un interviu telefonic. „Noi ne concentrăm doar pe unelte menite pentru activitățile Poliției sau Securității, nu și pe cele concepute pentru distrugerea sau deteriorarea funcționalității și eficienței unui sistem, exclusiv pe colectarea informațiilor.”

Conform lui Zapparoli, compania urmărește doar bug-uri de Windows, macOS, iOS și Android, și nu este interesată de exploatarea device-urilor din Internetul Tuturor Lucrurilor, infrastructură critică, companii telecom sau site-uri populare precum Facebook.

Un grafic cu bug-urile pe care le urmărește Crowdfense și bonificațiile respective. (Imagine: Crowdfense)

Crowdfense încearcă să facă lucruri în alte feluri, „cu o transparență maximă”, a spus el. Zapparoli a adăugat că el nu vrea să repete greșelile făcute de restul companiilor din industrie, menționând Hacking Team, un comerciant italian de spyware, despre care se știe că vinde unelte de hacking și monitorizare guvernelor opresive.

„Verificarea clienților este cea mai delicată parte a activității noastre”, a spus Zapparoli.

Pentru moment, Zapparoli nu a specificat cum mai exact se ocupă compania de verificarea clienților sau cu cine lucrează. El e dispus să vândă doar „unui număr restrâns” de clienți, dacă asta va trebui să facă ca uneltele să nu ajungă unde nu trebuie. El a mai spus că, în viitor, Crowdfense ar putea publica cele mai bune practici și standarde despre cum să verifici clienții, însă, pentru moment, compania se „auto-reglementează.”

Guvernul local al Emiratelor Arabe Unite a autorizat activitatea companiei Crowdfense în Dubai, a spus Zapparoli.

„Când trebuie să comercializăm în afara Emiratelor Unite, de obicei nu întâmpinăm aversiuni”, a spus Zapparoli.

În 2016, guvernul UAE a fost acuzat de folosirea unei erori de iPhone împotriva activistului pentru drepturile omului, Ahmed Mansoor. Eroarea a fost descoperită de compania din Israel, NSO Group.

Zapparoli a mai adăugat că va lua în considerare și controversatul Acord Internațional Wassenaar, care reglementează așa zisele tehnologii cu „dublu-scop”. Mai exact, unelte ce pot fi folosite atât în vremuri de pace, cât și de război. Unele țări care fac parte din Acord (Emiratele Arabe Unite nu este pe listă) consideră anumite exploatări de bug-uri produse cu dublu-scop. Zapparoli a spus că ține de cercetătorii care vând exploatările către Crowdfense să respecte Acordul.

Compania are un buget de zece milioane de dolari pentru acest „apel de erori”. Pentru moment, și investitorii sunt anonimi, iar Zapparoli a refuzat să specifice cine a investit în companie.

Adriel Desautels obișnuia să fie broker între cercetătorii care găseau și dezvoltau exploatări și companiile care le cumpărau, precum și clienții guvernamentali care ajungeau să le folosească. Compania lui, Netragard, a lucrat cu mai multe guverne, dar și cu producători de tehnologie pentru securitate, cum e Hacking Team. Atunci când Hacking Team a fost hack-uită și a fost publicată lista de clienți, Desautels a hotărât să părăsească industria.

Desautels spunea că lista de prețuri de pe Crowdfense se mulează pe piață. El a menționat că înainte să renunțe la industria asta a intermediat tranzacția unui bug iOS, care s-a ridicat la prețul de patru milioane de dolari. Însă acum e sceptic în privința modelului de afaceri. Crowdfense poate funcționa doar dacă vinde aceleași capacități mai multor clienți, care ar putea genera probleme, a adăugat el.

Totuși, piața e în floare.

„Atunci când e vorba de device-ur iOS și Android, astfel de ținte vin la pachet cu interese operaționale reale”, a spus el pentru Motherboard. „Ai o nevoie, ai pe cineva în mișcare, care are un telefon și tu trebuie să monitorizezi persoana. Îți trebuie ceva care e în direct contact cu persoana, doar atunci ești dispus să cheltui astfel de sume.”

Crowdfense s-a alăturat unei piețe aglomerate. Există companii relativ publice, cum e Zerodium, care a atras atenția în ultimii ani, prin anunțarea unor bonificații similare, de milioane de dolari, pentru software-uri populare. Mai există și firme mai puțin cunoscute și nu atât de bombastice, cum e cea din Australia, Azimuth.