מצאת פרצה בדפדפן? נשלם פי 3 מהיצרן

כעת נכנסת לתחום הצומח חברת סטארט-אפ חדשה וחצופה בשם זירודיום (Zerodium), שהחלה לפעול בגלוי בסוף החודש שעבר. היא מציעה בפומבי לקנות מההאקרים את הפרצות במחיר גבוה עד פי שלושה מזה שמציעות חברות הטכנולוגיה, ואז למכור אותן לחברות ולארגונים. למורת רוחן של החברות הכל חוקי, לפחות לכאורה.

מנסים לא להסתבך

האקר שיגלה פרצה במוצר של חברת טכנולוגיה גדולה ויציג אותה בפניה יקבל, ברוב המקרים, סכום שנע בין כמה מאות דולרים ל-10,000 דולר. "ראיתי הרבה מאוד חוקרי אבטחה שמתמרמרים על התמורה שמשלמות חברות הטכנולוגיה עבור עבודתם", הסביר מייסד זירודיום שאוקי בקראר לאתר Motherboard כיצד נולדה זירודיום. "מכל התוכניות לרכישת פרצות, אף אחת לא משלמת כמו שצריך".

בחשבון הטוויטר של זירודיום נכתב כי החברה הישראלית זימפריום, שגילתה את פרצת האבטחה StageFright אשר איימה על מיליארד מכשירי אנדרואיד, הכניסה כתוצאה מכך רק 1,400 דולר. אם מישהו מגלה חולשה רצינית בדפדפן כרום הוא יכול, לדברי זירודיום, לקבל מגוגל 15 אלף דולר. היא, מצדה, תשלם לו 45 אלף דולר.

אלה כבר תעריפים שמזכירים הרבה יותר את הנפוצים בשוק הפלילי, אלא שזירודיום מקפידה לבדל את עצמה ממנו, ובכך לספק יתרון משמעותי להאקרים. כיום החוק ברוב המדינות אינו מגביל איתור פרצות במוצרים טכנולוגיים ומכירתן לגורמים לגיטימיים, כמו גופי ממשל או חברות אחרות. לעומת זאת, אם מתברר שפרצה משמשת לפעילות לא חוקית כמו גניבת מידע, יש בסיס להעמיד לדין גם את ההאקר שמכר אותה.

קונים פרצות מהאקרים, מוכרים למרבה במחיר

זירודיום, לדבריה, מקפידה למכור את המידע שמועבר אליה רק לגורמים לגיטימיים. אלה יכולים להיות ארגוני ביון שיכולים לרגל ולתקוף בעזרתו, חברות שישמחו לשים יד על פרצות אבטחה אצל המתחרים, או אפילו החברות הנפגעות עצמן שרוצות למנוע נזק. בניגוד להאקינג טים האיטלקית, שהסתבכה בגלל פעילות בשווקים מפוקפקים, בזירודיום מקפידים להתרחק ממדינות שעליהן מוטלות מגבלות של האו"ם או ארה"ב. לא שיש סיבה לדאוג להן: לפי הוושינגטון פוסט, ה-NSA האמריקאית משקיעה 25 מיליון דולר בשנה ברכישת פרצות, כך שמדובר בשוק עם פוטנציאל רווח אדיר.

למרות התחום שבו היא עוסקת, זירודיום לא רק מציעה באופן דיסקרטי את הפרצות שנמכרות לה ללקוחות שעשויים להתעניין בהן, אלא גם מפרסמת את חלקן בגלוי. אתר החברה כולל בין היתר מעין זרם עדכונים המפרסם את המוצרים הזמינים. היא מתמקדת בעיקר בפרצות "איכותיות", שקשה לאתר ושעלולות לגרום נזק ממשי.

סוג הפרצות שמעניינות את זירודיום הן אלו המאיימות על גאדג'טים, תוכנות ואפליקציות. בין היתר מדובר בבעיות אבטחה הנוגעות למערכות הפעלה לסמארטפונים כמו אנדרואיד, בלקברי OS וכמובן iOS של אפל (שנחשבת למאובטחת במיוחד ולגביע הקדוש של ההאקרים, שפרצות אליה עשויות להיות שוות מאות אלפי דולרים); דפדפנים כמו כרום או פיירפוקס; שרתי דואר אלקטרוני או מאגרי מידע.

מנגד, זירודיום לא מתעניינת בשירותי רשת כמו ג'ימייל או ברשתות חברתיות כמו פייסבוק וטוויטר. אחרי הכל, אם רוצים להגיע למידע של משתמש באחד השירותים האלה, קל יותר לפנות אליו בדרכים ערמומיות מאשר להתמודד עם מערכות אבטחה מתוחכמות שקשה מאוד לפצח.

המתחרה זזה מהדרך

שאוקי בקראר, העומד מאחורי החברה, הוא אחת הדמויות השנויות ביותר במחלוקת בעולם הסייבר. הוא מטפח בכוונה תדמית של נבל: תמונת הפרופיל שהוא מציג בטוויטר, למשל, היא של דארת' ויידר מסרטי מלחמת הכוכבים. וכמו דארת' ויידר, גם הוא מטשטש את הגבול בין טוב לרע.

התמונה שהציב מייסד החברה בחשבון הטוויטר שלו צילום: צילום מסך טוויטר

בקראר, צרפתי ממוצא אלג'יראי, הקים ב-2004 את Vupen, אחת מחברות הסייבר הראשונות שהתמקדה במכירת כלי פריצה ומעקב לממשלות, ארגוני ביון ולמעשה לכל המרבה במחיר, כל עוד מדובר בגוף הנחשב לגיטימי ולא בפושעי סייבר. אחת מהלקוחות הגדולים של החברה היתה ה-NSA, לצד סוכנויות ריגול במדינות מערביות נוספות שנעזרו בה. Vupen, שהחלה את דרכה בצרפת ועברה לארה"ב, התחרתה בשוק זה מול חברות מעטות יחסית.

אחת השחקניות הללו היתה Netragard האמריקאית, שעסקה באופן מצומצם ברכישת פרצות אבטחה עוד לפני הקמת זירודיום. אלא שאז נחשפה פרשת האקינג טים: Netragard היתה אחת החברות שמכרה לחברה האיטלקית פרצות וחולשות אבטחה, שהאחרונה מכרה לדיקטטורות. הגילוי על כך בחודש שעבר בעקבות הפריצה להאקינג טים עצמה הפנה גם ל-Netragard זרקור תקשורתי לא אוהד, והיא הכריזה כי תפסיק למכור פרצות אבטחה. מייסדה, אדריאל דסוטל, טען שהחברה לא ידעה למי האקינג טים מכרה את הפרצות, ושהוא לא התכוון שהן יתגלגלו לידי גורמים "לא אתיים".

אך במקום שבו דסוטל ראה איום, בקראר זיהה הזדמנות. Vupen, שבעצמה עשתה עסקים עם האקינג טים, הורידה בחודשים האחרונים פרופיל. אתר האינטרנט שלה נדם ונראה היה שהחברה הפסיקה את פעילותה, ופרשנים העריכו שבקראר מתכנן פרויקט חדש - הנחה שהתבררה כנכונה עם הקמת זירודיום, שאמורה לנצל את הוואקום בשוק תוך הימנעות מקשרים עם מדינות מפוקפקות.

למרות השקיפות היחסית שזירודיום נוקטת, מעט מאוד ידוע על החברה עצמה, פרט לתחום עיסוקה והעובדה שהיא שייכת לבקראר. מדובר בחברה פרטית, כך שלא ברור אם אכן מדובר בסטארט-אפ חדש או פשוט בחטיבה של Vupen, וגם לא ידוע מאיזו מדינה היא פועלת. "המטרה היא לבנות קהילה של מומחי אבטחה מוכשרים ועצמאיים שעובדים יחדיו ליצירת מאגר מידע בתחום מחקר הסייבר", כותבים בזירודיום. חברות הטכנולוגיה שעשויות להיפגע מהמאגר הזה כנראה ישתמשו בכינויים אחרים לפעילות החברה, הרבה פחות מחמיאים.