Tietoturva-aukoilla tahkotaan miljoonia

Hyökkäysohjelmien kauppaaminen on julkista ja laillista liiketoimintaa

Ulkomaat
 
Thomas Winje Øijord Scanpix
Hakkerit ja tietoturvayritykset etsivät suosituista ohjelmistoista haavoittuvuuksia, joista valtioiden tiedustelupalvelut maksavat suuria rahasummia.
Hakkerit ja tietoturvayritykset etsivät suosituista ohjelmistoista haavoittuvuuksia, joista valtioiden tiedustelupalvelut maksavat suuria rahasummia. Kuva: Thomas Winje Øijord Scanpix

Ranskalaisyritys Vupen myy verkkohyökkäysohjelmistoja valtioille ja tiedustelupalveluille.

Lisääntynyt valtioiden välinen verkkotiedustelu on tehnyt ohjelmistojen tietoturva-aukoista kallisarvoista kauppatavaraa.

Hakkerit ja tietoturvayritykset etsivät suosituista ohjelmistoista kilvan haavoittuvuuksia, joista valtioiden tiedustelupalvelut ovat valmiita maksamaan kuusinumeroisia summia.

Alan yrityksistä näkyvin on pieni ranskalainen Vupen Security. Se myy yrityksille ja valtioille tavanomaisia tietoturvaratkaisuja, mutta myös verkkohyökkäysaseita.

Vupenin tutkijat etsivät eri ohjelmistoista niin sanottuja nollapäivähaavoittuvuuksia ja kehittävät niitä hyödyntäviä haittaohjelmia, joita yritys myy eteenpäin, täysin laillisesti.

Niin sanotulla nollapäivähaavoittuvuudella tarkoitetaan uutta, entuudestaan tuntematonta aukkoa ohjelmiston tietoturvassa.

Nimitys viittaa siihen, että ohjelmiston kehittäjällä on ollut nolla päivää aikaa aukon paikkaamiseen.

Haavoittuvuus mahdollistaa erilaisten haittaohjelmien tunkeutumisen ohjelmistoa käyttävälle tietokoneelle.

Nollapäivähaavoittuvuuksien ja niitä hyödyntävien haittaohjelmien kauppaa on käyty perinteisesti pimeillä markkinoilla hakkerien, rikollisten, yritysten ja hallitusten kesken. Nykyisin kaupankäynti on avoimen julkista ja laillista liiketoimintaa.

Vupen tarjoaa asiakkailleen erihintaisia palvelupaketteja, joista halvimpaan kuuluu tieto haavoittuvuudesta ja ohjeet sen paikkaamiseksi. Kalleimpaan pakettiin sisältyvät ohjeet, miten aukkoa voidaan hyödyntää haittaohjelmissa ja mahdollisesti valmis hyökkäysohjelma.

"On parempi, että kauppaa käydään laillisesti", sanoo verkonkäyttäjien oikeuksia ajavan Effi-yhdistyksen varapuheenjohtaja Ville Oksanen.

"Muuten se tapahtuisi pimeillä markkinoilla ja haavoittuvuudet päätyisivät helpommin rikollisiin käsiin."

Myös ohjelmistoyritykset ostavat tietoa omien tuotteidensa haavoittuvuuksista, jotta ne voisivat paikata aukot ennen kuin niitä ehditään hyödyntää.

"Esimerkiksi Google kertoo ostavansa aukkoja pois markkinoilta. Se houkuttelee löydettyjen tietoturva-aukkojen lailliseen kauppaan", Oksanen selittää.

"Jos joku löytää aukon, hän tietää, että voi myydä sen Googlelle ja saada kohtuullisen korvauksen", hän jatkaa.

Ohjelmistotalojen maksamat korvaukset ovat kuitenkin pikkuruisia verrattuna tiedustelupalveluiden tai niiden alihankkijoiden tarjoamiin summiin.

Helmikuussa 2012 Google tarjosi Vupen Securitylle 60 000 dollaria (47 000 euroa) Chrome-selaimesta löytyneestä haavoittuvuudesta. Vupenille se ei riittänyt. "En antaisi tätä Googlelle edes miljoonasta dollarista. Emme halua millään tavoin auttaa heitä paikkaamaan tätä. Säästämme tämän asiakkaillemme", Vupenin perustaja Chaouki Bekrar sanoi Forbesin mukaan.

Sekä laillisilla että pimeillä markkinoilla kauppasummat pidetään visusti salassa, mutta The Economistin mukaan haavoittuvuuksien hinnat ovat nelinkertaistuneet vuodesta 2004.

Vupenin hinnasto on myös salainen. Talouslehti Forbesin mukaan asiakkaat maksavat noin 100 000 dollaria (80 000 euroa) vuodessa palvelusta, jossa he saavat oikeuden tutustua myynnissä oleviin hyökkäysmenetelmiin ja ostaa niitä. Yksittäisen hyökkäysohjelman hinta on luultavasti paljon korkeampi.

Asiakkaikseen Vupen kelpuuttaa "luotettavia" ja "vastuullisia" viranomaisia ja tiedusteluorganisaatioita. Verkkosivuillaan yhtiö kertoo tarjoavansa hyökkäysohjelmia vain Nato-maille ja -kumppaneille, Asean-yhteisön maille sekä Yhdysvaltojen, Australian ja Uuden Seelannin muodostamalle Anzus-ryhmälle. YK:n, EU:n tai Yhdysvaltojen pakotteiden piirissä oleville maille tai kansalaisiaan sortaville valtiolle niitä ei myydä.

Bekrar on kuitenkin myöntänyt, ettei Vupenilla ole viime kädessä mahdollisuutta valvoa, mihin sen tuotteita käytetään.

Helsingin Sanomat | hs.online@hs.fi