quinta-feira, 22 de março de 2012

Hackers vendem ferramentas para a invasão de computadores por somas milionárias

Em uma competição realizada em Vancouver, no mês passado, o Google Chrome teve duas falhas críticas de segurança expostas. O resultado rendeu um prêmio de 60 mil dólares a cada um dos dois grupos que conseguiram a façanha. O que mais chamou a atenção da empresa, no entanto, foi um terceiro grupo de hackers.
A empresa francesa de segurança Vupen recusou o convite do Google para participar da competição. O motivo disso é que eles nunca tiveram a intenção de revelar ao Google as falhas de segurança do navegador, o que era uma das regras do concurso. O objetivo da empresa é mais sombrio: as falhas descobertas por eles são vendidas por somas milionárias para seus clientes.

O governo está de olho em tudo


Segundo a Vupen, entre seus denominados clientes estão agências governamentais que compram essas falhas de sistema para espionar e invadir computadores e telefones de suspeitos que se encontram em investigação. Nesse mercado que é legal, mas obscuro, uma falha de segurança pode render cerca de 2 mil dólares de uma empresa de software que procura corrigir as falhas, mas até 100 vezes mais de pessoas que pretendem usar secretamente as falhas para espionagem.
Apesar do chefe executivo da Vupen Chaouki Bekrar não revelar os valores, alguns clientes fixos da empresa pagam até 100 mil dólares por ano, segundo diz a empresa analista Frost & Sullivan.

Como garantir que o comércio de falhas não resulte em crimes


Mesmo vendendo falhas de segurança para pessoas não tão bem intencionadas assim, Bekrar garante que faz o possível para que elas não caiam nas mãos de criminosos virtuais, apesar de afirmar que nem sempre isso é possível. Nas palavras dele: “Se você vende uma arma a alguém, é difícil garantir que ela não seja repassada”.
Em maio de 2011 a Vupen divulgou um vídeo mostrando que tinha conseguido invadir computadores através do Google Chrome. Quando o Google comentou o fato alegando que a falha era culpa do plugin Flash, Bekrar rebateu dizendo que a empresa queria tirar a responsabilidade de suas costas, e que se fosse para ajudar uma companhia multi-bilionária de software a tornar seu código mais seguro, ele preferia ajudar um desabrigado.