Hackers vendem falhas de código para empresas e até para outras nações

Fonte: http://mobile.nytimes.com/2013/07/14/world/europe/nations-buying-as-hackers-sell-computer-flaws.html (ou traduzido porcamente aqui)
Nossa, achei o assunto ótimo, te faz pensar bastante.

Na pequena ilha mediterrânea de Malta, dois hackers italianos estão à procura de erros - não às variedades de besouros da ilha, mas falhas secretas em código de computador que os governos pagam centenas de milhares de dólares para aprender e explorar.

Os hackers, Luigi Auriemma, 32, e Donato Ferrante, 28, vendem detalhes técnicos dessas vulnerabilidades para países que querem invadir os sistemas de computadores dos adversários estrangeiros. Os dois não revelaram os clientes da sua empresa, ReVuln, mas grandes compradores de serviços como a deles incluem a Agência de Segurança Nacional - que busca as falhas para o cultivo arsenal de armas cibernéticas da América - e os adversários americanos, como a Guarda Revolucionária do Irã.

Em todo o mundo, da África do Sul para a Coréia do Sul, o negócio está crescendo em que os hackers chamam de “dia zero”, a falhas no software, como o Microsoft Windows que pode dar um comprador acesso irrestrito a um computador e qualquer empresa, órgão ou dependente dele.

Apenas alguns anos atrás, hackers, como Mr. Auriemma e Mr. Ferrante teriam vendido o conhecimento de falhas para empresas como Microsoft e Apple, que iriam corrigir o código. No mês passado, a Microsoft aumentou o montante que estava disposto a pagar por tais falhas, aumentando a sua oferta superior a US $ 150.000.

(…)

Israel, Grã-Bretanha, Rússia, Índia e Brasil são alguns dos maiores gastadores. A Coreia do Norte está no mercado, assim como alguns serviços de inteligência do Oriente Médio. Os países da Ásia-Pacífico, incluindo Malásia e Singapura, estão comprando, também, de acordo com o Centro de Estudos Estratégicos e Internacionais em Washington.

(…)

Já ouvi falar que é relativamente fácil encontrar falhas de segurança (do tipo “zero-day exploit”) em aplicativos mobile bancários (que normalmente não são escritos pelos departamentos de TI dos bancos ou então pelas consultorias tradicionais, mas sim por pequenas startups).

Um colega meu até achou um monte de falhas desse tipo (não vou dizer quem ele é, nem que banco nem que falhas - faz parte da profissão dele), falou com o desenvolvedor, e ele ficou de cabelos em pé.

Provavelmente a conversa dele foi gravada pelo banco e o desenvolvedor (que não tinha a menor ideia de como evitar falhas de segurança, nem como consertá-las) está vendo uma forma de corrigir isso antes de ser processado :slight_smile: .

No mínimo vai ter de pagar algum consultor de segurança para poder começar a avaliar o estrago.

O problema para o desenvolvedor do tal aplicativo bancário é que várias dessas falhas de segurança são arquiteturais (ou seja, não adianta reescrever o código se não trocar a infra-estrutura) e ele vai ter de se virar para não ficar no prejuízo nem ser processado. (Obviamente alguém no banco também vai sofrer as consequências de ter liberado um software novo sem ter feito um mínimo de “pentest” nesse software :slight_smile: )

entanglement,

Já trabalhei para bancos e instituições financeiras, e acho que um dos principais problemas com falhas na segurança (tanto arquiteturais quanto código) é o rodízio de profissionais e empresas que trabalham.
Eles se preocupam tanto com dinheiro, que pagam N consultorias pra ficar programando. Daí, no ano seguinte, termina o contrato, outra consultoria pega o projeto e vai tocando… e assim vai…

Agora, o que eu fiquei pensando sobre o artigo:

1 - A nossa área é diversa
Eu nunca pensei que poderia ter gente especializada em procurar falha nos outros. Assim, lógico que existem mil ferramentas no linux para detectar falha de rede, falha arquitetural, tem leitor de código que te dá dicas de como fazer e como não fazer, mas não para ser contratado pra encontrar uma falha no servidor do país X e vender ao país Y. Isso é quase espionagem. É o mesmo que falar : olha, ali tem uma porta, mas você pode abrir com essa chave. Pronto, agora me dá 100 mil dólares.

2 - Ninguém está seguro
O Snowden é só mais um peão em toda essa história. Imagina o que os outros países fazem pra vasculhar o sistema dos outros.