Varnostne luknje za Android po novem več vredne kot za Apple iOS

Dolga leta je veljalo, da je še ne odkrito varnostno luknjo (t.i. »zero day«) za Applov sistem iOS lažje drago prodati, kot tisto za Android. Vendar se časi spreminjajo – cene za tovrstne luknje za Android danes segajo celo do dveh milijonov dolarjev in več!

Podjetje Zerodium, ki od hekerjev in varnostnih strokovnjakov odkupuje take varnostne ranljivosti (in jih prodaja varnostnim organom držav, ti pa z njimi počnejo, hm, saj vemo kaj…) je prejšnji teden objavilo, da za popolnoma tiho in skrito ranljivost v sistemu Android, ki samodejno prevzame uporabnikov telefon, ponuja kar 2,5 milijona dolarjev. To je najvišja ponudba za katerokoli varnostno ranljivost kadarkoli in 500.000 dolarjev več, kot znaša ponudba za vdor v Applov iPhone, oz. sistem iOS.

Po besedah predstavnikov Zerodiuma razlog tiči v tem, da je varnostnih ranljivosti za iOS vse več, zato je ponudba znižala ceno. Po drugi strani pa, da je resnih ranljivosti za Android vse manj, predvsem zaradi naporov, ki jih v to smer vlaga Google, pa tudi zaradi odprtokodne narave Androida, ko kodo pregleduje veliko večja množica ljudi. Koda iOS je skrbno varovana skrivnost, zato zunanjega vpogleda vanjo ni.

Seveda je razlog tudi v razširjenosti Androida, saj je z varnostno ranljivostjo zanj mogoče vdreti v veliko več telefonov, kot z ranljivostjo za iPhone/iOS. Po podatkih podjetja Statcounter je na svetovni ravni razmerje med uporabniki Android in iOS kar 76 proti 22 odstotkov.

Verjetno pa je nekaj resnice tudi v opozorilih nekaterih, da se podjetje Zerodium s takimi objavami le samooglašuje in si tako zvišuje vrednost, saj v resnici ne vemo ali so take vrtoglave vsote že komurkoli tudi zares izplačali.

Ali je prekupčevanje z ranljivostmi legalno?

Nepooblaščeno vdiranje v računalniške sisteme je v vsem razvitem svetu prepovedano, tudi pri nas. Slovenski kazenski zakon pa ima tudi zanimiv 306. člen, ki prepoveduje izdelovanje, posest, prodajo, uvoz, izvoz in ostale oblike zagotavljanja pripomočkov za vdor v informacijski sistem, če to počnemo z namenom storiti kaznivo dejanje. Sodne prakse na tem področju v Sloveniji ni.

V ZDA, ki je največji trg programske opreme in tudi ranljivosti, je prodaja informacij o znanih ranljivostih načelno zakonita, a obstaja cel kup izjem. Če ranljivost prodamo nekomu, ki namerava z njo storiti kaznivo dejanje (in v resnici je ranljivosti težko uporabljate kako drugače), je to nezakonito.

Prav tako ni zakonito vdiranje ali izsiljevanje. Kdor odkrije ranljivost in z njo potrka na vrata proizvajalca z zahtevo po nekem znesku (četudi je ta povsem razumen), se hitro lahko znajde v obtožnici za izsiljevanje. Prav tako lahko hekerji hitro prestopijo mejo zakona pri iskanju ranljivosti. Analiza kupljenih programov na lastnih računalnikih je dopustna, aktivno iskanje lukenj v postavljenih tujih sistemih pa seveda predstavlja vdor. Etično in najvarneje je odkrite ranljivosti prijaviti proizvajalcu v skladu z njegovim programom nagrajevanja. Prav tako je nezakonita prodaja narejenih orodij (exploit kits) za vdiranje v računalniške sisteme ali povzročanje škode.

Enostavnega odgovora ni tudi zato, ker lahko prodajalca preganja več držav: država, katere državljan je, država, v kateri izvede prodajo, in država, v kateri je tarča.

(zadnje poglavje je bilo prvič objavljeno v članku (Varnostne) luknje naprodaj v posebni poletni številki Monitorja)