Virtuele lopers leveren veel geld op

Bij DSM probeerden hackers met een usb-stick in te breken op het computersysteem. Zwakheden in software lokken een lucratieve handel uit in programma’s met behulp waarvan computers kunnen worden gekraakt.

60.000 dollar kon ‘Pinkie Pie’ begin dit jaar naar huis meenemen van een Canadese beveiligingsconferentie. In anderhalve week omzeilde Pinkie Pie de beveiliging van Google-browser Chrome en plaatste een plaatje van een roze My Little Pony op de computer waarop hij inbrak.

De jonge, verlegen hacker, die anoniem wil blijven, won daarmee de hoofdprijs van een wedstrijd die door Google was uitgeschreven om zwakke plekken in software van het bedrijf te ontdekken. Een dag na de aanval van Pinkie Pie had Google het lek alweer gedicht. Hacker blij, Google blij.

Maar op de Canadese conferentie gebeurde op datzelfde moment nog iets anders.

In een andere, concurrerende wedstrijd werd de browser van Google opnieuw succesvol gekraakt. Ditmaal door het Franse beveiligingsbedrijfje Vupen, dat ook 60.000 dollar opstreek. Maar anders dan Pinkie Pie ging Vupen Google helemaal niet vertellen hoe het de aanval had uitgevoerd. Nee, pochte het Franse bedrijf, wij verkopen deze informatie liever. Aan inlichtingendiensten bijvoorbeeld, want die betalen beter.

Dit is de wereld van de handel in ‘0-day exploits’, stukjes software die gebruikmaken van een zwakke plek in een computerprogramma, om zo een systeem te infecteren of over te nemen. Een exploit is ‘zero day’ als het helemaal nieuw en totaal onbekend is. Pinkie Pie gebruikte voor zijn aanval drie van zulke ‘virtuele lopers’.

Wie zo’n loper heeft, hoeft niet te wachten tot iemand zichzelf besmet. Dat probeerden criminelen pas geleden nog bij chemieconcern DSM. Op de parkeerplaats strooiden ze usb-sticks met spionagesoftware, in de hoop dat een argeloze werknemer er eentje in z’n computer zou steken. De poging werd onderschept. Hadden de criminelen een slimme exploit gebruikt om binnen te komen in plaats van zo’n opzichtige usb-stick, dan was de inbraak waarschijnlijk onopgemerkt gebleven.

De exploitmarkt is een wereld in alle grijstinten tussen het wit van keurige beveiligingsexperts en het zwart van cyberspionnen. In de steeds uitdijende cyberoorlog zijn kwaadaardige computerprogramma’s de wapens en ‘0-day exploits’ de kogels. Een beetje handige hacker kan vanuit zijn zolderkamer zo aan die oorlog meedoen en er nog een aardige boterham aan verdienen ook. Want virtuele lopers kunnen veel geld opleveren.

De fabrikant van het programma wil ze hebben, want hij wil weten welke zwakke plekken hij moet repareren. Producenten van anti-virussoftware willen ze hebben, want zij kunnen er hun beveiligingspakketten mee uitbreiden. Cybercriminelen willen ze hebben, want ze kunnen ermee inbreken op computers en, zeg, creditcardnummers oogsten. En inlichtingendiensten willen ze hebben, want zij kunnen er overheden mee dwarszitten, of mensen mee bespioneren.

Het Franse Vupen beweegt zich handig in dit gebied. Het bedrijf maakt inbreeksoftware en verkoopt die dan weer aan overheidsinstanties en inlichtingendiensten. Op de website van Vupen staat dat het bedrijf „extreem geraffineerde exploits” biedt, die „speciaal ontworpen zijn om inlichtingendiensten en politie en justitie te helpen bij hun aanvallen”.

Vupen maakt daarbij gebruik van „exclusieve en onbekende zwakke plekken” die ontdekt zijn door eigen onderzoekers. Niet iedereen kan de virtuele lopers die dit oplevert zomaar kopen. Het bedrijf beperkt zich tot NAVO-landen en NAVO-partners, wat volgens de NAVO zelf betekent dat ook Kazachstan, Pakistan en Irak bij Vupen kunnen winkelen.

Er zijn veel meer bedrijven zoals Vupen. Het Amerikaanse IOActive, dat als marketingstunt een programma schreef om slimme energiemeters te infecteren, levert aan overheidsinstanties. Core Security rekent de CIA en het Amerikaanse leger tot zijn klanten.

Het Britse Gamma International verkoopt aan overheden en politiediensten. Het spionagepakket FinFisher, schrijft een woordvoerder, helpt „criminelen te pakken en soms zware misdrijven te voorkomen”. Of de Nederlandse AIVD ook exploits inkoopt wil de woordvoerder niet zeggen.

Een hacker hoeft niet per se in dienst te zijn van een bedrijf om geld te verdienen aan zijn slimme vondst, weet de hacker en exploitschrijver die schuilgaat achter de naam ‘Blasty’. Vrije hackers kunnen hun lopers ook verkopen, aan bijvoorbeeld de Amerikaanse beveiliger Netragard. Aanmelden kan eenvoudig met een mailtje. Ze kunnen ook aankloppen bij tussenhandelaren, zoals de Zuid-Afrikaanse man uit Bangkok die opereert onder de naam ‘The Grugq’.

The Grugq laat weten geen zin meer te hebben om te praten over zijn exploithandel. In zakenblad Forbes zei hij recent nog dat hij verwachtte dit jaar zeker één miljoen dollar aan commissies op te strijken. Hij zou alleen software verkopen aan Amerikaanse en Europese overheidsdiensten. Niet uit ethische overwegingen, maar omdat zij het beste zouden betalen.

Dat bedrag kan flink oplopen. Een complexe loper voor een veelgebruikt programma zoals Chrome of een loper voor de iPhone kan tot 250.000 dollar opleveren, zei hij in Forbes. Een stuk software dat door Android kan breken is goed voor 30.000 à 60.000 dollar, een loper voor Windows maximaal 120.000 dollar.

Bedrijven als Apple, Google en Microsoft balen natuurlijk dat anderen winst maken met hun fouten. Elke aanval die de media haalt, is een deuk in hun reputatie. Daarom verzinnen ze beloningsprogramma’s waarin ze hackers betalen voor gevonden zwakke plekken.

Lucas Adamski is hoofd beveiliging van Mozilla, van internetbrowser Firefox. Hij was begin deze zomer op beveiligingsconferentie ‘Hack in the Box’ in het Okurahotel in Amsterdam. Adamski betaalt hackers 3.000 dollar voor een ernstige zwakke plek, zegt hij. Voor kleinere zwakke plekken betaalt hij zo’n 500 dollar. Per jaar kost het beloningsprogramma Mozilla 100.000 dollar.

Zolang je de zwakke plekken die hackers vinden daadwerkelijk aanpakt, denkt Adamski, blijven ze gemotiveerd hun hacks aan te leveren.

Maar als het de hackers puur om het geld gaat verliest Mozilla, weet Adamski ook. „Wij kunnen niet concurreren met de zwarte markt.”

Want niet alleen commerciële bedrijven en geheim agenten, ook cybercriminelen azen op de virtuele lopers. Zij handelen met elkaar via versleutelde berichten, of in gesloten chatkanalen. Maar, schrijft de Italiaanse security-expert en voormalig exploithandelaar Roberto Preatoni in een e-mail, „die worden vooral bevolkt door jonkies, aandachttrekkers en niet-zo-geheime agenten.”

Je lopers verkopen aan een cybercrimineel is riskant. Je kunt worden gesnapt, of de afgesproken prijs niet ontvangen. Om hackers toch een betere prijs te bieden dan de beloningsprogramma’s, opende Preatoni een paar jaar geleden de publieke markt Wabisabilabi, waar hackers hun nog onbekende lopers konden verkopen aan de hoogste bieder. Maar kopers bleven weg, schrijft Preatoni, „en journalisten bleven maar schrijven dat het onethisch was”. Preatoni werd later opgepakt op verdenking van spionage. De rechtszaak tegen hem loopt nog.

Die schimmigheid is inherent aan de exploitmarkt. Want als je je software niet verkoopt aan Google of Microsoft, maar aan een tussenhandelaar, waar komt hij dan terecht? Niemand weet het. In Stuxnet, het door de VS en Israël geschreven virus dat nucleaire installaties in Iran aanviel, bleken vier volledig onbekende exploits voor Windows te zitten. Waren die zelfgeschreven? Gekocht?

Iran dwarszitten kun je nog verdedigen. Maar niet zelden vallen in het Westen gefabriceerde computerprogramma’s in handen van slechte regimes. Het Britse bedrijf Gamma International bijvoorbeeld, maakte in zijn FinFisher-software gebruik van een nog onbekende beveiligingsfout in iTunes. Via software-updates konden klanten van Gamma het spionageprogramma installeren op de computer van het doelwit.

Egyptische dissidenten beweerden onlangs een contract tussen Gamma International en de Egyptische overheid gevonden te hebben.

De woordvoerder van Gamma laat weten dat hun software onder exportregels valt, en alleen aan ‘goedgekeurde’ landen wordt verkocht. Maar wie controleert dan of het niet wordt doorverkocht?

Een krachtige exploit kan – in verkeerde handen – er aan bijdragen dat industrieën worden dwarsgezeten, systemen in de war geschopt, staatsgeheimen ontfutseld, mensen worden afgeluisterd en vastgezet. Wie niet wil dat zijn hack via-via-via in verkeerde handen valt, moet dus bij de fabrikant aankloppen en tevreden zijn met een paar duizend euro.

Of met niets, zoals de leden van het Chronic Dev team, die keer op keer de systeembeveiliging van de iPhone weten te omzeilen. „Wij zullen nooit geld vragen voor een jailbreak”, zeiden ze op Hack in the Box. „Dat zou een slecht idee zijn.”

Carola Houtekamer