ماه گذشته در رقابتی که گوگل آن را برگزار کرد٬ مرورگر کروم که مشهور به امنیت بالا است٬ دو بار جلوی هکرها زانو زد. هر دو روش جدید هک٬ از یک سایت جعلی برای عبور از موانع امنیتی کروم استفاده کردند و کامپیوتر هدف را به کلی گروگان گرفتند. ولی در حالی که این دو گروه توانستند از سد دفاعی گوگل عبور کنند٬ در واقع روش سومی بود که توانست خواب گوگل را آشفته کند.
این گروه سوم٬ هکرهایی از شرکت امنیتی Vupen در فرانسه بودند و کلا با قوانین دیگری بازی می کردند. آنها از وارد شدن به رقابت گوگل سر باز زدند و در همان کنفرانس٬ در هکاتونی که HP پشتیبانی می کرد٬ حضور یافتند. گوگل به هر یک از دو هکر اول ۶۰.۰۰۰ دلار پرداخت کرد٬ البته با این شرط که روش خودشان را کامل با شرکت در میان بگذارند و به ترمیم حفره های امنیتی کروم کمک نمایند. ولی چائوکی بکرار٬ از مدیران Vupen و هکر ارشد آن٬ می گوید شرکتش هرگز تمایلی به اشتراک گذاشتن تکنیک های سری خود با گوگل ندارد -قطعا نه برای ۶۰.۰۰۰ دلار.
بکرار می گوید: «ما اینها را برای ۱ میلیون دلار هم با گوگل در میان نمی گذاریم٬ هیچ اطلاعاتی که بتواند برای رفع حفره ها و سایر نواقص امنیتی مشابه به کار آنها بیاید را به شان نخواهیم داد. می خواهیم اینها را برای مشتریان خودمان نگه داریم.»
مشتریان؟ کدام مشتریان؟ مشتریانی که نمی خواهند گوگل و سایر شرکت های سازنده نرم افزار٬ باگ های امنیتی شان را رفع کنند. این مشتریان در اصل سازمان های امنیتی وابسته دولت ها هستند که نواقص کمر شکن و تکنیک های هک کردن مبتنی بر نواقص غیر آشکار نرم افزارها را می خرند تا از آنها برای هدف قرار دادن تلفن ها و کامپیوترهای مورد استفاده توسط مجرمین و اهداف اطلاعاتی٬ استفاده کنند.
در این بازار مشکوک ولی قانونی برای فروش نقص های امنیتی٬ یک باگ کمر شکن می تواند ۲.۰۰۰ یا ۳.۰۰۰ دلار برای هکری که آن را به شرکت های نرم افزاری می دهد٬ درآمد سازی کند. این رقم در صورت فروش به جاسوسان یا نیروهای پلیس که دنبال استفاده مخفیانه از آن هستند٬ می تواند ۱۰ تا ۱۰۰ برابر شود.
بکرار قیمت گذاری دقیق شرکت Vupen بر روی تکنیک های اش را اعلام نمی کند٬ ولی تحلیلگران Frost & Sullivan که این شرکت را در سال ۲۰۱۱ به عنوان کمپانی پیشرو در زمینه یافتن نواقص امنیتی معرفی کردند٬ می گویند مشتریان Vupen برای دریافت اشتراک سالانه حدود ۱۰۰.۰۰۰ دلار پرداخت می کنند٬ این اشتراک به آنها امتیاز خرید تکنیک های Vupen را می دهد.
تکنیک های این شرکت شامل حمله به نرم افزارهایی نظیر مایکروسافت ورد٬ ادوبی ریدر٬ سیستم عامل های اندروید و آی او اس٬ و موارد دیگر است. Vupen در هکاتون HP ادعا کرد که حفره های امنیتی و روش های هک کردنی را برای تمام مرورگرهای اصلی بازار در اختیار دارد. منابع خبری آشنا با این شرکت می گویند که هر تکنیک از کاتالوگ این شرکت٬ معمولا بسیار فراتر از مبلغ ۶ رقمی حق اشتراک٬ برای مشتریان آب می خورد و حتی با این قیمت ها هم Vupen تکنیک ها یا حفره ها را به طور انحصاری نمی فروشند. در عوض٬ هر خدعه را به چند سازمان امنیتی می دهد. یک مدل تجاری که مشتریان شرکت را در جاسوس بازی شان مسلح نگه می دارد.
بکرار ادعا می کند که Vupen به دقت مراقب مشتریان خود هست و فقط با دولت های عضو پیمان ناتو و شرکای ناتو همکاری دارد. قراردادها شامل مفادی برای عدم افشا و عدم بازفروش تکنیک ها و سایر اطلاعات است٬ با این حال امکان اینکه این روش ها به دست افراد نااهل بیفتد هم هست. بکرار می گوید: «ما تمام تلاش مان را می کنیم تا تکنیک ها از سازمان دریافت کننده خارج نشود٬ ولی وقتی به کسی سلاح می فروشی٬ راهی برای اطمینان از اینکه به سازمان دیگری فروخته نمی شود٬ نیست.»
منتقدین Vupen از مقایسه کار آن با شرکت های فروش اسلحه برای نقدش استفاده می کنند. کریس سوگویان٬ یک فعال حوزه امنیت و از افراد شناخته شده در بنیادهای جامعه باز٬ Vupen را "سوداگر مدرن مرگ" می نامد که "گلوله های جنگ سایبری" می فروشد. سوگویان می گوید «بعد از اینکه این شرکت یکی از رخنه های اش را فروخت٬ دیگر نمی شود آن را پیگیری کرد٬ هیچ معلوم نیست چطور مورد استفاده قرار می گیرد٬ چه با تضمین چه بی تضمین٬ و مشخص نیست حقوق بشر را چطور نقض می کند. Vupen نمی داند چطور از ابزارهای اش استفاده می شود و احتمالا تا وقتی چک ها پول می شود هم علاقه ای ندارد که بداند.»
Vupen اصلا در این بازار تنها نیست ولی سایر شرکت های خریدار یا فروشنده تکنیک های هک مثل Netragard و Endgame یا شرکت های بزرگ تر مانند Northrop Grumman و ٬Raytheon بسیار مخفی کار تر هستند. بکرار می گوید که شرکت کوچکش واقع در مون پلیه در فرانسه "شفاف" است ولی سوگویان آن را "بی شرم" می خواند: « Vupen پیش افتاده ی این جمع است٬ و دنبال شهرت است. »
بکرار رقم درآمد شرکتش را بیان نمی کند٬ ولی یکی از هکرهایی که رقم درآمدهای خود را فاش می گوید٬ فردی ملقب به the Grugq است که در بانکوک زندگی می کند. او می گوید در سال جاری بیش از ۱ میلیون دلار از معاملاتش درآمد داشته و این روزها به رقم های زیر ۵۰.۰۰۰ دلار برای هر معامله اصلا فکر هم نمی کند.
گروگ که در ابتدای کار به بکرار کمک می کرد می گوید او خیلی باهوش است «تمام کارت ها را در دست دارد. به مشتریانش می گوید با این قیمت می خرید٬ یا اگر نه که کس دیگری می خرد.» بکرار با وجود ادعای اش مبنی بر شفافیت٬ حتی تاریخچه کاری خود و سنش را هم اعلام نمی کند. شرکت او در ابتدای تاسیس به شرکت های نرم افزاری کمک می کرد تا نواقص خود را رفع کنند ولی بعد از مدتی فهمید که با نگه داشتن تقص ها نزد خود و فروش به قیمت بالا٬ فرصت های درآمدزایی بهتری دارد.
در این اواخر کار به جایی رسیده که بکرار و شرکتش٬ دیگر شرکت هایی را که محصولاتش را هک می کنند دست هم می اندازند. او در می ۲۰۱۱ ویدیویی منتشر کرد که چگونگی نفوذ به دستگاهی با مرورگر کروم را نشان داد٬ ولی هیچ اطلاعاتی درباره این حفره امنیتی به گوگل نداد. گوگل کمی بعد اعلام کرد که این نقص مربوط به پلاگین فلش بوده٬ نه خود کروم. بکرار در توییتر این ادعا را "حقیر و پست" خواند. کارمندان امنیتی گوگل هم او را "فرصت طلبی که اخلاق را به چالش کشیده" خواندند.
بکرار چیزهایی که به او نسبت می دهند را بی تفاوت رد می کند: «ما اینقدر تلاش نمی کنیم تا به شرکت های نرم افزاری چند میلیارد دلاری کمک کنیم نواقص شان را رفع کنند. اگر دلمان بخواهد کار خیر بکنیم٬ به بی سرپناهان کمک می کنیم.
