La storia mai raccontata del mercato zero-day americano

“Con lo scioglimento dell’Unione Sovietica, hai avuto molte persone con competenze, senza lavoro”, ha spiegato Sabien. In Europa, gli hacker, alcuni di appena 15 e 16 anni, scambiavano le loro scoperte con dealer zero-day che si sarebbero voltati e le avrebbero vendute direttamente alle agenzie governative e ai loro broker. Alcuni degli hacker più talentuosi, mi ha detto Sabien, erano in Israele, veterani dell’Unità 8200 di Israele. Uno dei migliori era un ragazzo israeliano di 16 anni.

Era una faccenda segreta e incredibilmente contorta. Il team di Sabien non è riuscito a chiamare esattamente gli hacker, chiedere loro di inviare il loro exploit via e-mail e rispedirgli un assegno. Bug e exploit dovevano essere attentamente testati su più sistemi. A volte gli hacker potrebbero farlo tramite video. Ma la maggior parte degli accordi venivano conclusi faccia a faccia, spesso nelle stanze d’albergo durante le convention degli hacker.

La squadra di Sabien faceva sempre più affidamento su questi oscuri intermediari. Per anni, ha detto, il suo datore di lavoro ha inviato un intermediario israeliano con borse da viaggio piene di mezzo milione di dollari in contanti per acquistare insetti zero-day da hacker in Polonia e in tutta l’Europa orientale.

Ogni passo in questa struttura di accordi follemente complessa si basava sulla fiducia e sull’omertà. I governi dovevano fidarsi degli appaltatori per fornire uno zero-day che funzionasse. Gli appaltatori dovevano fidarsi di intermediari e hacker per non far saltare l’exploit nel corso delle loro scappatelle o per rivenderlo ai nostri peggiori nemici. Gli hacker dovevano fidarsi che gli appaltatori li avrebbero pagati, non solo prendere le loro dimostrazioni e sviluppare la propria variazione dei loro bug. Questo era prima del bitcoin. Alcuni pagamenti sono stati erogati tramite Western Union, ma la maggior parte è stata effettuata in contanti.

Non potresti immaginare un mercato meno efficiente se ci provassi.

Ecco perché, nel 2003, Sabien ha preso atto che iDefense stava apertamente pagando gli hacker per i loro bug e ha chiamato Watters.

Per un uomo d’affari come Watters, che stava cercando di spingere il mercato allo scoperto, quello che stavano facendo gli appaltatori era idiota, persino pericoloso.

“Nessuno voleva parlare apertamente di quello che stavano facendo”, ha ricordato Watters. “C’era tutta questa aria di mistero in esso. Ma più oscuro è il mercato, meno efficiente è. Più il mercato è aperto, più matura, più gli acquirenti sono al comando. Invece hanno scelto di lavorare fuori dal vaso di Pandora ei prezzi hanno continuato a salire. “

Alla fine del 2004, c’era una nuova domanda da parte di altri governi e società di copertura, che continuavano a far salire il prezzo degli exploit e rendere difficile la concorrenza di iDefense.

Con la diffusione del mercato, ciò che preoccupava Watters non era l’effetto che il mercato avrebbe avuto su iDefense; era il potenziale crescente per una guerra cibernetica totale. “È come avere armi nucleari informatiche in un mercato non regolamentato che può essere acquistato e venduto ovunque nel mondo senza discrezione”, mi ha detto.

La certezza dell’era della Guerra Fredda, con il suo agghiacciante equilibrio, stava cedendo il passo a una vasta landa selvaggia digitale inesplorata. Non sapevi bene dove sarebbe comparso il nemico o quando.

Le agenzie di intelligence americane hanno iniziato a fare sempre più affidamento sul cyber-spionaggio per raccogliere quanti più dati possibile sul maggior numero possibile di avversari e alleati. Ma non si trattava solo di spiare. Hanno anche cercato un codice che potesse sabotare le infrastrutture, eliminare la rete. Il numero di appaltatori di Beltway desiderosi di trafficare con questi strumenti ha iniziato a raddoppiare ogni anno, ha detto Sabien.

I grandi appaltatori – Lockheed Martin, Raytheon, Northrop Grumman, Boeing – non sono riusciti ad assumere specialisti informatici abbastanza velocemente. Hanno rubato dalle agenzie di intelligence e acquistato negozi più piccoli come quello di Sabien. Le agenzie hanno iniziato a procurarsi exploit zero-day dai cataloghi, offerti da Vupen, un broker zero-day a Montpelier, in Francia, che in seguito avrebbe rinominato Zerodium. Ha aperto un negozio più vicino ai suoi migliori clienti nella tangenziale e ha iniziato a pubblicare apertamente i suoi listini prezzi online, offrendo fino a $ 1 milione (e successivamente $ 2,5 milioni) per un modo collaudato per hackerare in remoto l’iPhone. “Paghiamo GRANDI taglie, non taglie di insetti”, recitava lo slogan. Gli ex operatori della NSA hanno avviato le proprie attività, come Immunity Inc., e hanno formato i governi stranieri nella loro attività commerciale. Alcuni appaltatori, come CyberPoint, hanno accettato i loro affari all’estero, di stanza ad Abu Dhabi, dove gli Emirati hanno ricompensato profumatamente gli ex hacker della NSA per aver hackerato i suoi nemici, reali e percepiti. Ben presto, gli spacciatori zero-day come Crowdfense, che vendeva esclusivamente a sauditi ed emiratini, iniziarono a battere Zerodium di un milione di dollari o più. Alla fine, quegli strumenti sarebbero stati attivati ​​sugli americani.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *