Béo bở thị trường mua bán lỗ hổng phần mềm

Phóng to

Công ty ReVuln khoe bài báo của New York Times viết về mình trên mặt trang chính - Ảnh chụp lại từ màn hình

Theo New York Times và Forbes, từ Nam Phi tới Hàn Quốc, hoạt động mua bán các lỗ hổng (zero-day) đang ngày càng bùng phát. Trên quốc đảo nhỏ Malta ở Địa Trung Hải, hai hacker người Ý Luigi Auriemma (32 tuổi) và Donato Ferrante (28 tuổi) là những người chuyên bán các lỗ hổng phần mềm cho các nước muốn khai thác điểm yếu của các nước khác. Cả hai không tiết lộ danh tánh khách hàng của Công ty ReVuln của mình, nhưng những khách hàng lớn của họ gồm các cơ quan tình báo hàng đầu như Cơ quan An ninh quốc gia (NSA) của Mỹ.

Từ áo thun đến đôla

Theo New York Times, mười năm trước các hacker sẵn sàng trao những thông tin “tử huyệt phần mềm” cho Microsoft và Google miễn phí - nhiều khi chỉ để đổi lấy vài chiếc áo thun hay được nhắc tên trên website của công ty. Giờ thị trường này được coi như một mỏ vàng lớn. Các tiết lộ của Edward Snowden, cựu nhân viên NSA, cho thấy Mỹ là một trong những nước mua nhiều nhất các thông tin lỗ hổng kiểu này.

Tháng trước, Microsoft đã tăng chi phí chi trả lên tới 150.000 USD. Nhưng khoản tiền này đang ngày càng nhỏ so với mức chính phủ các nước sẵn sàng chi ra - như cách Mỹ và Israel từng dùng virút Stuxnet tấn công hệ thống hạt nhân của Iran cách đây vài năm. Ông Howard Schmidt, cựu điều phối viên về an ninh mạng của Nhà Trắng, giải thích: “Các chính phủ sẽ nói rằng để bảo vệ tốt nhất đất nước, ta cần tìm điểm yếu của các nước khác”.

Israel, Anh, Nga, Ấn Độ và Brazil là những chính phủ tích cực tham gia thị trường. Thậm chí, người ta thấy cả tên CHDCND Triều Tiên và các nước Trung Đông. Ở châu Á, còn có Malaysia và Singapore là các nước tích cực mua sắm - theo Trung tâm Nghiên cứu chiến lược và quốc tế (CSIS) ở Washington. Với Trung Quốc, tạp chí Forbes trích lời một hacker nói chính quyền Bắc Kinh có nhiều hacker chỉ nghiên cứu và bán cho chính phủ nên không cần mua từ bên ngoài.

Buôn bán công khai

Để kết nối người mua kẻ bán thường có những tay “cò” lấy hoa hồng khoảng 15% cho các giao dịch. Một số “cò” như một nhân vật ở Bangkok, có tên “The Grugq” trên Twitter, rất nổi tiếng. Thu nhập một năm của Grugq có thể lên tới cả triệu USD. Tuy vậy, sau khi Grugq nói chuyện trên tạp chí Forbes vào năm ngoái, hoạt động kinh doanh của ông ta lập tức gặp trục trặc vì thường khách hàng đòi hỏi bí mật trong các giao dịch.

Thị trường màu mỡ đã cho ra đời các doanh nghiệp mới. Các công ty như Vupen ở Montpellier (Pháp), Netragard ở Acton, bang Massachusetts (Mỹ), Exodus Intelligence ở Austin, Texas (Mỹ) đều quảng cáo công khai việc chuyên bán các lỗ hổng cho các hoạt động phản gián. Ở Virginia (Mỹ) có công ty mới thành lập tên Endgame, do một cựu giám đốc NSA đóng vai trò quan trọng, đã viết được một loạt công cụ chuyên bán cho Chính phủ Mỹ để phát hiện các lỗ hổng công nghệ có thể dùng chống các hành vi phá hoại trên mạng hoặc có thể dùng để tấn công các mạng khác.

Giống Công ty ReVuln, không công ty nào trong số này tiết lộ tên khách hàng của mình. Tuy vậy Adriel Desautels, người sáng lập Netragard, nói khách hàng của ông ta “hoàn toàn từ Mỹ” và giá bán các lỗ hổng phần mềm đã tăng gấp đôi trong ba năm qua, với mức dao động 35.000-160.000 USD. Người sáng lập của Vupen, Chaouki Bekrar, nói doanh thu của họ đã tăng gấp đôi mỗi năm vì nhu cầu đang ngày càng tăng. Vupen thu lệ phí “bảo vệ” hằng năm với khách hàng là 100.000 USD và các thương vụ cụ thể sẽ tính riêng.

Để đối phó tình trạng này, nhiều công ty công nghệ giờ thường trả các hacker để báo về các lỗi của hệ thống thay vì để hacker giữ thông tin cho riêng mình và không biết lúc nào tung ra. Mozilla Foundation là công ty tiên phong đầu tiên trả tiền cho thông tin về các lỗi trên trình duyệt Firefox, giờ thì các công ty như Google, Facebook và Paypal đều áp dụng đối sách này.

Năm 2010, Google bắt đầu trả hacker 3.134 USD cho các khiếm khuyết với trình duyệt Chrome. Đến tháng trước, Google đã tăng số tiền thưởng lên 20.000 USD cho các sản phẩm phổ biến của mình. Facebook cũng bắt đầu chương trình tương tự vào năm 2011 và đến giờ đã chi khoảng 1 triệu USD. Riêng Apple chưa có chính sách tương tự nhưng những lỗ hổng của Apple hiện đang có giá nhất trên thị trường. Có trường hợp lỗi zero-day của hệ điều hành IOS từng bán với giá 500.000 USD.