VUPEN é a empresa que vende explorações a espiões

Em uma competição gerida pelo Google pela segurança do navegador Chrome realizada em Vancouver no mês passado, o Chrome, conhecido por sua segurança, foi duas vezes comprometido por hackers. Ambas as vezes foram usadas por hackers, novos métodos para contornar a proteção de segurança do Chrome e através da vulnerabilidade para obter acesso total ao computador de destino. Dois hackers conseguiram anular a proteção da empresa, mas isso não é um problema, pois o Google garantiu o gerenciamento completo de quaisquer vulnerabilidades que surgissem da concorrência. O verdadeiro problema vem dos hackers que não participaram do concurso do Google.

VUPEN Um grupo de hackers da empresa de segurança francesa VUPEN está jogando com regras diferentes e certamente não com as colocadas pelo Google. Eles se recusaram a participar da competição para quebrar a segurança do Chrome e ganhar um patrocínio da HP. O Google, como mencionado acima, deu US $ 60.000 como prêmio a cada um dos os dois hackers que venceram a competição com a condição de divulgar todos os detalhes de seus ataques e ajudar a empresa a corrigir as vulnerabilidades usadas.O CEO da VUPEN, Chaouki Bekrar, diz que sua empresa nunca teve “Não compartilharíamos isso com o Google nem por um milhão de dólares”, diz Bekrar. “Não queremos dar a eles nenhum conhecimento que puderem.” ajudar a determinar qualquer vulnerabilidade. Mantemos nosso conhecimento para nossos clientes. “

Obviamente, os clientes da VUPEN não pretendem corrigir os erros de segurança do Google ou de qualquer outro fornecedor de software. São agências governamentais que compram explorações de “dia zero” ou técnicas de hacking que usam em missões secretas.

Uma exploração de dia zero que poderia dar ao hacker de US $ 2.000 a US $ 3.000 de uma empresa de software interessada na segurança de seu produto poderia obter um lucro de 10 ou até 100 vezes mais se o hacker conseguir vendê-lo para espiões ou policiais que querem usá-lo em algum lugar secreto.

A Bekrar não forneceu detalhes sobre os preços exatos da VUPEN, mas os analistas da Frost & Sullivan, que nomearam o VUPEN Business of the Year para 2011 na área de pesquisa de persuasão, disseram que os clientes da VUPEN pagam cerca de US $ 100.000 por ano como assinatura. o que lhes dá o privilégio de comprar suas técnicas VUPEN. Esses métodos incluem ataques de invasão de software, como Microsoft Word, Adobe Reader, Android do Google e iOS da Apple. Ataques aos sistemas operacionais e muito mais que o VUPEN se vangloriou no concurso de hackers da HP, que tinha explorações prontas para todos os principais navegadores. Fontes familiarizadas com o trabalho da empresa relatam que uma técnica simples de seu catálogo geralmente custa muito mais do que sua assinatura de seis dígitos.

Mesmo com esses preços, a VUPEN não vende suas explorações para ninguém exclusivamente. Em vez disso, está espalhando seus truques para muitas agências governamentais. É um modelo de negócios que muitas vezes coloca seus clientes um contra o outro, aproveitando o sigilo de espiões.

Bekrar afirma que está examinando cuidadosamente cada um de seus clientes e que eles apenas vendem para governos da OTAN e “parceiros da OTAN”. Ele diz que a VUPEN tem mais “procedimentos internos” para filtrar nações não democráticas e exige que os compradores assinem contratos que afirmam que não divulgarão ou revenderão suas façanhas. Mas, mesmo assim, ele admite que os métodos de ataque digital da empresa podem cair em mãos erradas. “Estamos fazendo o possível para garantir que eles não saiam da organização que os compra”, disse Bekrar.

Claro, também existem críticos do VUPEN. Chris Soghoian, um ativista das Open Society Foundations, diz que a VUPEN é uma “traficante moderna de morte” depois de vender “balas para guerra cibernética”. Quando uma de suas façanhas é vendida, Soghoian diz que desaparece em um buraco negro, e eles não têm idéia de que serão usadas, com ou sem um mandado, ou se os direitos humanos serão violados. “O problema estava lá, mas ficou claro no ano passado que as ferramentas de vigilância do Blue Systems Coat da Sanivail, na Califórnia, foram vendidas para uma empresa dos Emirados Árabes Unidos, mas acabaram monitorando os oponentes políticos sírios. “O VUPEN não sabe usar suas façanhas e provavelmente não querem saber.” Obviamente, Bekrar descreve sua empresa como “transparente”, enquanto Soghoian a chama de “vergonhosa”.

Embora Bekrar queira que sua empresa seja transparente, ele não falou muito sobre sua história pessoal ou carreira antes de fundar a VUPEN – nem mesmo sua idade. A VUPEN é a terceira empresa consecutiva a se concentrar na busca por erros de segurança. Suas empresas anteriores foram a K-Otik e a FrSIRT, que publicaram os bugs que descobriram ao público. Evidentemente, isso mudou com a fundação do VUPEN, que significa “pesquisa de vulnerabilidades” e “teste de penetração”.

VUPEN não é o único no jogo de venda de explorações. Existem outras empresas que compram e vendem técnicas de hackers, incluindo Netragard, Endgame, Northrop Grumman e Raytheon.

O artigo foi publicado na Forbes,