Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm

Chỉ bằng một file ảnh dạng TIFF chứa mã độc gửi qua email hay MMS, bạn có thể nắm trong tay mật khẩu iPhone hay MacBook mà nạn nhân không hề hay biết. Tương tự như vậy, một file nhạc MP3 hay MP4 chứa mã đặc biệt cũng có thể giúp bạn truy cập từ xa hàng tỷ thiết bị Android để theo dõi thông tin trong máy. Đây chỉ là hai trong số rất nhiều ví dụ cho một khái niệm được gọi là: các lỗ hổng phần mềm hay các lỗi có thể khai thác. Chúng gần như xuất hiện song hành cùng với các hệ thống tính toán bằng phần cứng hay phần mềm, nhưng chỉ đến khi các hệ thống này trở nên phổ biến với nhiều triệu người dùng, những lỗ hổng đó mới cho thấy những tác động to lớn của chúng. 

Không chỉ ảnh hưởng đến mỗi cá nhân, giờ đây các lỗ hổng này còn có thể tác động đến cả an ninh toàn quốc gia.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 1.

Vì vậy, chúng đã trở thành thứ tài nguyên có giá trị thực sự, được người ta săn đuổi và khai thác, thậm chí buôn bán. Chính từ các nhu cầu này đã giúp hình thành nên các sàn giao dịch trực tuyến, tương tự như Amazon.com hay eBay.com, nhưng dành riêng cho các lỗ hổng phần mềm và những sản phẩm liên quan đến nó.


[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 2.

Về cơ bản, các lỗ hổng phần mềm cũng là một loại sản phẩm kỹ thuật số, giống như các ebook hay các file nhạc số. Chúng có thể nằm ở bất kỳ đâu, trong hệ điều hành Windows trên máy tính hay trên những chiếc smartphone. Không những thế, chúng còn có tác dụng kép. Chúng có thể được sử dụng cho mục đích nghiên cứu nhằm củng cố bảo mật cho các máy tính trước sự xâm nhập. Đồng thời, chúng cũng có thể biến thành một loại vũ khí để tấn công nhằm mục đích trục lợi. 

Chính mục đích sử dụng là một trong những yếu tố làm nên giá trị của các lỗ hổng đó. Rõ ràng một lỗ hổng được mua với mục đích nghiên cứu bảo mật, sẽ không thể có giá trị bằng một lỗ hổng được khai thác nhằm mục đích xâm nhập bất hợp pháp vào thiết bị của người khác được. 

Cũng chính vì việc chúng chỉ có giá cao khi có thể khai thác cho những mục đích trục lợi nên một yếu tố quan trọng khác cho giá trị của chúng là tính bí mật. Chừng nào chúng còn chưa bị tiết lộ, chừng đó chúng vẫn còn có giá trị cao. Đó là lý do hình thành nên hai loại sản phẩm chính cho các sàn giao dịch này: các lỗ hổng thông thường đã được biết đến nhưng chưa có bản vá, và các lỗ hổng zero day, những lỗ hổng chưa được công bố. 

Bản thân các lỗ hổng này cũng có giá rất chênh lệch nhau. Ví dụ trên ExploitHub, nơi tự gọi mình là "sàn giao dịch hợp pháp đầu tiên về các lỗi khai thác, đã được xác nhận, các lỗi ngoài zero-day", một nơi rất nổi tiếng cho việc giao dịch các lỗi khai thác thông thường, giá cả có thể xê dịch từ 30 USD đến 1.500 USD, tùy thuộc vào việc lỗ hổng này đã được phát hiện bao lâu.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 3.

Trong khi đó, các lỗ hổng zero-day lại có giá gấp hàng trăm đến hàng nghìn lần con số trên, tùy thuộc vào mức độ phức tạp và ảnh hưởng của lỗ hổng đó. Các tài liệu bị nhóm Anonymous tiết lộ cho thấy năm 2011, một hãng bảo mật có tên Endgame Systems từng chào bán một gói 25 lỗi có thể khai thác với số tiền lên đến 2,5 triệu USD (trung bình 100.000 USD cho một lỗi khai thác). 

Ngoài ra dù là những lỗ hổng chưa được công bố, nhưng thông thường chúng chỉ tồn tại khoảng một năm trước khi bị các nhà nghiên cứu bảo mật phát hiện và công bố, vì vậy, càng bán được sớm bao nhiêu, nó sẽ càng có giá bấy nhiêu. Cá biệt có những lỗ hổng đã tồn tại nhiều năm nhưng đến gần đây mới được công bố và vá lỗi, như lỗi bảo mật nằm trong Windows Print Spooler suốt từ năm 1995.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 4.

Các lỗi zero-day trên một số phần mềm quan trọng, theo Forbes.

Tính bí mật, thứ làm nên giá trị cho các lỗ hổng zero-day này cũng có thể là nhược điểm giúp nó trở thành món hàng rất rủi ro với các nhà nghiên cứu bảo mật, do khó có thể chứng minh được tính xác thực của lỗ hổng đó. Lúc này, các nhà nghiên cứu, hoặc phải tiết lộ sự thực về nó, hoặc phải chứng minh nó có tồn tại theo cách nào đó. Rõ ràng đây là việc làm không ai muốn khi nó có thể làm giảm giá hoặc mất giá trị của món hàng mà họ muốn bán.


[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 5.

Thị trường cho các lỗ hổng này thường được phân biệt thành 3 loại: thị trường trắng, đen và xám, tùy theo mục đích của mỗi loại thị trường. Với các sàn giao dịch trên thị trường trắng, đây là thường là nơi các nhà cung cấp phần mềm hoặc các bên thứ ba công khai thưởng tiền cho các nhà nghiên cứu bảo mật vì đã phát hiện ra các lỗi này. Ngoài việc giúp phát hiện các lỗ hổng trong hệ thống của mình, việc công khai các thông tin này còn là một cách củng cố niềm tin của người dùng vào các hãng này.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 6.

Thị trường này có cả bóng dáng người Việt

Một trong những người mua nổi tiếng nhất trên các sàn giao dịch này là TippingPoint thuộc Trend Micro. Công ty này mua lại các lỗ hổng phần mềm và hợp tác với các nhà cung cấp phần mềm đó để ngăn chặn các lỗ hổng phần mềm này. Công ty không tiết lộ mình đã trả bao nhiêu cho các nhà nghiên cứu nhưng thông thường số tiền rơi vào khoảng từ 1.000 USD đến 5.000 USD, phổ biến là 2.000 USD. Ngoài ra các hãng bảo mật còn tổ chức các cuộc thi tìm lỗi khai thác để không chỉ phát hiện các lỗ hổng mà còn tìm kiếm và tuyển dụng các chuyên gia bảo mật. Bên cạnh việc thông qua các bên thứ ba này, những nhà nghiên cứu phần mềm cũng có thể thông báo trực tiếp đến các nhà cung cấp phần mềm để nhận phần thưởng. 

Hầu hết các hãng phần mềm lớn đều có chương trình riêng để tặng thưởng cho các nhà nghiên cứu này. Tuy nhiên số tiền thưởng mỗi hãng cũng rất khác nhau, và theo báo cáo đến năm 2014, số tiền thường ít hơn 10.000 USD nhưng cá biệt vẫn có những hãng như Apple, sẵn sàng trả đến 200.000 USD cho ai hack được iOS và iCloud của họ. 

Nhưng bên cạnh mảng thị trường công khai, còn thị trường không công khai với các sàn giao dịch ngầm có quy mô lớn hơn nhiều so với các giao dịch trên.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 7.

Trong khi thị trường trắng thường là nơi tách biệt và công khai giữa các công ty phần mềm, các nhà phát triển cũng như các nhà nghiên cứu bảo mật. Ngược lại, thị trường đen và xám thì lại không có sự phân biệt rõ ràng như vậy. Trong khi thị trường đen thường dành cho các sản phẩm phục vụ mục đích phạm tội, như mạng lưới botnet, các công cụ khai thác, các dịch vụ tấn công như DDoS, thị trường xám chủ yếu giới hạn trong các lỗ hổng hay các cách khai thác. 

Trên thực tế, đa phần các giao dịch mua bán các lỗ hổng phần mềm này ít khi diễn ra công khai, đặc biệt với các vụ mua bán nhằm mục đích trục lợi. Không chỉ vì các quy định pháp luật hiếm khi khuyến khích những giao dịch này, mà còn vì mục đích của chúng. Không ai muốn công khai việc mua bán một công cụ dùng để vi phạm pháp luật cả. 

Cũng chính khả năng thu được những lợi ích lớn từ các lỗ hổng phần mềm này đã làm cho giá trị của các giao dịch trên thị trường đen và xám này thường cao hơn hàng chục đến hàng trăm lần so với các giao dịch trên thị trường trắng. Do vậy, đây cũng là yếu tố quan trọng thúc đẩy các nhà nghiên cứu tìm đến những nơi này hơn là giao dịch trực tiếp với các hãng phần mềm.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 8.

Do sự hạn chế của pháp luật, các sàn giao dịch ngầm đều đi kèm với các hạn chế về phương thức truy cập cũng như thanh toán. Để truy cập vào các sàn giao dịch này, người tham gia hoặc phải sử dụng các dịch vụ che giấu danh tính như TOR (viết tắt của The Onion Router) hay The Freenet Project, hoặc phải nhận được lời mời từ một thành viên trong sàn giao dịch đó. 

Ngoài ra, loại tiền dùng để thanh toán thường là các loại tiền được mã hóa, như Bitcoin, Darkcoin. Hiện nay ngày càng nhiều các sàn giao dịch hoàn toàn sử dụng các loại tiền mã hóa này, ngoài mục đích tránh bị lần ra thông tin về những người giao dịch, còn nhằm mục đích bảo vệ các bên mua bán khỏi các vụ lừa đảo. 

Tại đây, những người có nhu cầu không chỉ tìm mua được các lỗ hổng phần mềm có tiềm năng cao, mà còn có thể thuê được các chuyên gia cao cấp để thực hiện các dịch vụ tấn công mạng theo ý muốn. Dưới đây là một số sàn giao dịch điển hình cho các giao dịch này:

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 9.

Giao diện của Cebolla Chan.

Ví dụ: Cebolla Chan là một diễn đàn bằng tiếng Tây Ban Nha, với rất nhiều người đang quảng bá các lỗ hổng có thể khai thác cũng như các công cụ hack trên đó. Do bằng tiếng Tây Ban Nha nên nó rất nổi tiếng ở các nước như Mexico, Brazil và Argentina. Trong khi đó, Rutor.org lại là diễn đàn và sàn giao dịch bằng tiếng Nga. Tại đây, những người có nhu cầu không chỉ trao đổi các công cụ hack, các sản phẩm bất hợp pháp mà thậm chí còn có cả các đồ vật liên quan đến vệ tinh. 

Hay 0Day.in là một diễn đàn chỉ tập trung vào việc giao dịch các lỗ hổng zero day, các malware và các mã nguồn phần mềm, cơ sở dữ liệu. Vì vậy, đây cũng là nơi thu hút các chuyên gia về hack đến rao bán các cơ sơ dữ liệu và lỗ hổng khai thác. 

Một chợ khai thác lỗ hổng zero-day khác là The RealDeal. Nhưng thay vì tập trung vào các công cụ hack cấp thấp rẻ tiền, những người tạo ra nó chú trọng vào việc môi giới những dữ liệu hack cao cấp. Do vậy, cho dù danh sách sản phẩm của nó không nhiều, nhưng đều rất đắt tiền. Ví dụ, một phương pháp hack iCloud từng được rao bán với giá 17.000 USD trên sàn giao dịch này.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 10.

Giao diện của TheRealDeal Market.

Tuy nhiên, cũng như những khu chợ đen ngoài đời thật, các khu chợ ngầm trên mạng này cũng đầy rẫy các vụ lừa đảo gian lận, đặc biệt là với những người mới tham gia lần đầu. Không những vậy, với mặt hàng kỹ thuật số phức tạp như các lỗ hổng phần mềm, và không phải lúc nào cũng có thể kiểm tra được tính hiệu quả của phương pháp tấn công, rõ ràng sân chơi này không dành cho những tay mơ. 

Trong một bài đăng trên blog DeepDotWeb vào năm 2015, những người sáng lập ra The RealDeal cho biết, một trong những lý do họ tạo ra nó vì có đến 90% người giao dịch trên thị trường ngầm này là những kẻ lừa đảo, và The RealDeal được lập ra để ngăn chặn điều đó. 

Ngoài những lời chê bai đối thủ như trên, giữa những sàn giao dịch này cũng cạnh tranh nhau bằng các hình thức sát phạt hơn. Tháng Mười Hai năm 2012, ExploitHub, một sàn giao dịch nổi tiếng này đã bị một nhóm hacker có tên gọi " Inj3ct0r Team ", tấn công và lấy đi cơ sở dữ liệu về các giao dịch được trả tiền và những thông tin nhạy cảm khác. Bản thân nhóm hacker này cũng vận hành một sàn giao dịch lỗ hổng của riêng mình. 

Cơ sở dữ liệu này sau đó được đem rao bán với mức giá 242.333 USD. Việc này đã làm uy tín của ExploitHub bị sút giảm đáng kể, do không bảo vệ được danh tính của các thành viên trên sàn giao dịch của mình. Không dừng ở đó, nhóm hacker này sau đó tiếp tục tấn công một số trang web khác như vBulletin và Macrumors.com.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 11.

Trên thực tế, số lượng các sàn giao dịch tham gia vào thị trường này còn lớn hơn rất nhiều những cái tên kể trên, và đặc biệt chúng đang tăng nhanh trong thời gian gần đây. Điều gì đã làm chúng tăng trưởng nhanh như vậy?

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 12.

Số lượng lỗ hổng được phát hiện từ 2005 đến 2014.

Có thể thấy các xu hướng kết nối mạng mới đang gia tăng nhanh chóng với các smartphone, Internet of Things, thiết bị đeo thông minh… Do vậy, với mỗi lỗ hổng được khai thác trên các hệ thống này, đều kéo theo những thiệt hại vô cùng lớn. Tháng Năm năm 2015, hãng phân tích thị trường hàng đầu, Juniper Research, dự đoán đến năm 2019, tổn thất từ các lỗ hổng dữ liệu sẽ lên đến 2.100 tỷ USD trên toàn cầu, tăng gấp bốn lần so với thiệt hại ước tính từ các lỗ hổng dữ liệu trong năm 2015.

Ngoài ra một yếu tố khác quan trọng không kém giúp thúc đẩy sự hình thành và phát triển nên các sàn giao dịch này, đó là từ chính những người tham gia vào nó. Những khoản lợi nhuận hấp dẫn cũng như chi phí bỏ ra hầu như không đáng kể đã thu hút một lượng lớn các nhà cung cấp. Ngoài ra, bản thân những người mua đều có được các lợi ích mà không đâu có khi mua được các món hàng trên. Những điều này đã và đang làm cho các sàn giao dịch này bùng nổ hơn bao giờ hết.

Vậy các nhà cung cấp và những người mua hàng trên các sàn giao dịch này là những ai?

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 13.

Trên thực tế, hầu như ai cũng có thể tham gia vào các thị trường này nếu có một chút kiến thức về máy tính. Với sự gia tăng của các mô hình dịch vụ hay các bộ công cụ tự làm (Do it yourself), bất kỳ ai cũng có thể tạo và sử dụng nhiều loại malware, mà không cần đến các kỹ thuật cao siêu. Họ có thể dễ dàng mua được các giấy chứng nhận, thông tin thẻ và thông tin cá nhân để khai thác.

Vì vậy, theo một chuyên gia ước tính, giữa những năm 2000, khoảng 80% những người tham gia vào thị trường đen là những người làm tự do, tuy nhiên ngày nay, con số này đã giảm xuống chỉ còn 20%. Thay vào đó là các tổ chức hay nhóm các cá nhân, nhằm kết hợp các bộ kỹ năng lại với nhau để đạt được các mục tiêu lớn hơn.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 14.

Đối tượng đầu tiên có thể cung cấp các lỗ hổng này chính là các nhà nghiên cứu bảo mật, những người đến từ các học viện và các chuyên gia về công nghệ bảo mật. Họ là những người hy vọng có thể kiếm được tiền từ tài năng và các nghiên cứu của mình. Hay nói cách khác, họ là những người săn tiền thưởng trong thế giới bảo mật.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 15.

Các lỗ hổng trên phần mềm mà họ phát hiện hoặc tìm ra cách khai thác, đặc biệt các cách khai thác và các lỗi liên quan đến lỗ hổng zero-day, luôn được các bên tìm kiếm. Mặc dù họ có thể rao bán các công trình của mình trên những sàn giao dịch ngầm để có thể tìm được người mua trả giá cao, nhưng các rủi ro về lừa đảo và tính bí mật của nó có thể nhiều người e ngại. Trong khi đó, nếu họ rao bán trên thị trường trắng, hoặc thông qua các chương trình thưởng tiền để báo lỗi của các công ty, họ không chỉ được đảm bảo về mặt số tiền được thưởng mà còn nhận được sự ghi nhận một cách chính thức. Ngược lại, các công ty như Facebook, Microsoft hay Google cũng sẽ ngăn chặn kịp thời các lỗ hổng đó trước khi nó bị khai thác nhằm mục đích trục lợi, gây ảnh hưởng xấu đến uy tín của các công ty. 

Nhờ các chương trình tặng thưởng công khai này, ta biết được danh tính của nhiều nhà nghiên cứu bảo mật nổi tiếng, không chỉ của nước ngoài mà còn ở ngay tại Việt Nam. Ví dụ nhóm CLGT-Meepwn tham gia cuộc thi Codegate Hacking Competition 2016 tại Seoul, Hàn Quốc trong tháng Năm vừa qua, với một số thành viên từ vnsecurity.net và sinh viên từ trường Đại học Công nghệ Thông tin.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 16.

Còn với những hacker mũ đen, nơi ưa thích của họ lại là những sàn giao dịch ngầm, nơi họ có thể tìm được cho mình những khoản lợi nhuận lớn hơn, hấp dẫn hơn. Mặc dù những người này có thể đến từ bất kỳ đâu trên thế giới, nhưng nó vẫn có những phân biệt nhất định. Ví dụ, theo một báo cáo từ tổ chức phi lợi nhuận của Mỹ, RAND Corporation, các hacker đến từ Trung Quốc, Nam Mỹ và Đông u, thường dẫn đầu về số lượng các cuộc tấn công bằng malware, trong khi đó các hacker người Nga lại nổi tiếng về chất lượng của mình. 

Ngoài ra, trong khi các nhóm hacker người Việt chủ yếu tập trung vào lĩnh vực thương mại điện tử, phần lớn các nhóm hacker người Nga, Romania, Lithuani, Ukraina và một số quốc gia Đông Âu chủ yếu tập trung tấn công các tổ chức tài chính. Trong khi đó, các nhóm hacker Trung Quốc được cho rằng họ chú ý nhiều hơn đến các tài sản sở hữu trí tuệ. Còn các nhóm hacker hoạt động tại nước Mỹ thường liên quan đến tội phạm tài chính, thay vì ăn trộm tài sản sở hữu trí tuệ.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 17.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 18.

Chính những người mua trên các sàn giao dịch này là yếu tố để phân biệt giữa các thị trường với nhau. Đầu tiên có thể kể đến chính các công ty, các nhà phát triển, những tổ chức sở hữu các phần mềm bị lỗ hổng đó và các bên thứ ba, những người mua này đã giúp hình thành nên thị trường trắng – các sàn giao dịch công khai. Ước tính khoảng 14% các lỗ hổng của Microsoft, Apple và Adobe trong 10 năm qua được phát hiện thông qua các giao dịch như thế này.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 19.

Khai thác chiếm quyền từ xa trên iPhone.

Trên thực tế, một động lực quan trọng buộc các công ty này chấp nhận trả tiền cho các lỗ hổng trong hệ thống của họ lại chính là từ thị trường đen và thị trường xám. Những số tiền hấp dẫn mà người mua trên các thị trường này dành cho những lỗ hổng đã buộc những công ty này đưa ra các chương trình tiền thưởng nhằm phát hiện và ngăn chặn sớm các lỗ hổng này, trước khi chúng bị phát tán. 

Mặc dù vậy, những khoản tiền thưởng của các công ty này thường không thấm tháp gì nếu so sánh với số tiền người mua trên các sàn giao dịch ngầm sẵn sàng bỏ ra để có được thông tin về các lỗ hổng và các cách khai thác những lỗ hổng đó. Vậy họ là những ai mà có thể sẵn sàng bỏ ra số tiền lớn đến như vậy?

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 20.

Trong khi thị trường trắng là nơi các công ty, các nhà phát triển sở hữu những phần mềm có lỗ hổng tìm đến, thì thị trường đen lại thường là nơi lui tới của những kẻ tội phạm. Các cơ sở dữ liệu về thông tin thẻ tín dụng, hay thông tin cá nhân của người dùng Internet cho các tổ chức phát tán email, luôn là những mặt hàng mà giới tội phạm ưa thích.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 21.

"The Grugq" - một trong những người môi giới nổi tiếng nhất trên thị trường các lỗ hổng phần mềm.

Ngoài các sản phẩm là các lỗ hổng và những cách khai thác các lỗ hổng đó, những người mua trên thị trường đen còn thường tìm kiếm những người đủ khả năng cung cấp các dịch vụ tấn công mạng, nhằm thực hiện các cuộc tấn công như DDoS, hoặc cho thuê mạng Botnets của mình để tự thực hiện các cuộc tấn công. 

Bên cạnh những người mua trực tiếp này còn có những người trung gian, những người không chỉ đóng vai trò môi giới, mà còn giúp đảm bảo giao dịch thành công. Do các lỗi zero-day có xu hướng dành riêng cho một số tổ chức nào đó, vì vậy không dễ tìm được những người mua phù hợp với nó. Ngoài ra việc xác thực các lỗi này cũng cần một bên trung gian đảm bảo, để các tổ chức (công ty hoặc chính phủ) có thể mạnh dạn hơn trong việc thanh toán cho các nhà nghiên cứu.

Một trong những người môi giới nổi tiếng nhất trên thị trường là một chuyên gia bảo mật có tên "The Grugq", người được tạp chí Forbes phỏng vấn. Anh cho biết, mình đã thu xếp một số phi vụ bán các lỗ hổng phần mềm cho những cơ quan chính phủ và hưởng hoa hồng từ doanh thu bán các mặt hàng này (hoa hồng khoảng 5%).

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 22.

David Vincenzetti, CEO của Hacking Team

Ngoài ra còn có sự tham gia của một số tổ chức khác cũng nổi tiếng không kém như Endgame Systems của Mỹ, Vupen của Pháp, Hacking Team của Italia, hay NSO Group của Israel …. Trong khi các tổ chức này đang kiếm được hàng triệu USD mỗi năm nhờ việc cung cấp hoặc môi giới các lỗ hổng này cho các tổ chức hoặc các chính phủ, họ cũng đặt ra một số giới hạn cho mình khi giao dịch với các chính phủ trên thế giới. 

Ví dụ Hacking Team, một công ty tại Milan, Italia, chuyên bán các phương pháp xâm nhập và theo dõi cho các chính phủ, các cơ quan thực thi pháp luật, cho biết, họ "không bán sản phẩm của mình cho các quốc gia, các chính phủ nằm trong danh sách đen của Mỹ, EU, Liên Hiệp Quốc, NATO và ASEAN." Mặc dù vậy, người ta cũng phát hiện ra họ đã một vài lần vi phạm nguyên tắc của mình.

Hay như Chaouki Bekrar, CEO của Vupen, một trong những công ty buôn bán lỗ hổng zero-day nổi tiếng của Pháp, cũng cho biết trong email của mình: "Là một công ty châu u, chúng tôi chuyên làm việc với các đối tác và đồng minh của mình để giúp họ bảo vệ nền dân chủ và công dân chống lại các mối đe dọa và tội phạm." Vupen cho biết họ chỉ bán các lỗ hổng phần mềm cho những quốc gia là thành viên hoặc đối tác với NATO, cũng như các quốc gia không chịu lệnh trừng phạt nào về xuất khẩu.

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 23.

Tuy nhiên mỉa mai là, một đối tượng khách hàng quan trọng cho những sàn giao dịch này lại chính là các chính phủ, những người đã đặt ra các quy định hạn chế sự hoạt động của chúng. Do tính chất bảo mật thông tin trên các sàn giao dịch này, họ có thể tiết lộ mối quan tâm về những loại lỗ hổng cụ thể nào đó để tìm kiếm nhà cung cấp, mà không phải lo ngại sự cản trở của pháp luật.

Với các chính phủ, những lỗ hổng này có nhiều tác dụng hơn các lợi ích tài chính. Những lỗ hổng trong Windows có thể là công cụ lý tưởng để chính phủ Mỹ do thám các trùm ma túy của Mexico. Hay Israel luôn sẵn sàng trả cho các nhà nghiên cứu những khoản tiền lớn để tạo cửa hậu xâm nhập vào các máy chủ của tổ chức Hezbollah.

Vào năm 2013, một báo cáo của tờ Reuters cho thấy chính phủ Mỹ, và đặc biệt là các cơ quan tình báo và Bộ Quốc Phòng, chính là “người mua lớn nhất trên thị trường xám, nơi các hacker và các hãng bảo mật bán các công cụ, để đột nhập vào máy tính của người khác.”

Trong khi đó, chính phủ các quốc gia khác cũng không chịu thua kém trong lĩnh vực này. Trung Quốc là một ví dụ điển hình cho việc đó. Ngoài ra, việc các chính phủ của UAE hay chính phủ Panama mua lại các malware của NSO Group, một công ty của Israel, chuyên phát hành các phần mềm để theo dõi các thiết bị smartphone, với giá khá cao. Điều này càng làm mọi người đặt dấu hỏi về mục đích của thương vụ này, liệu chúng có được dùng để theo dõi các công dân của những quốc gia đó?

[Magazine] Chợ đen ngầm online - siêu thị trực tuyến giá cao, nơi hàng hóa là lỗ hổng phần mềm - Ảnh 24.

Sự tham gia mạnh mẽ hơn của các chính phủ trên thị trường giao dịch các lỗ hổng phần mềm này còn làm chúng ta đặt ra một câu hỏi khác, về một cuộc chiến công nghệ cao trong tương lai thông qua những phần mềm máy tính này. Các virus máy tính như Stuxnet là một bằng chứng rõ ràng nhất về việc chúng có thể được sử dụng như một loại vũ khí để phá hủy cơ sở vật chất của một quốc gia.

Trong khi đó, ngay cả những quốc gia hùng mạnh nhất về công nghệ thông tin cũng không thể đảm bảo chắc chắn rằng, đội quân an ninh mạnh của mình đủ mạnh để đứng vững trước bất kỳ cuộc tấn công nào. Do vậy lúc này, các sàn giao dịch ngầm này sẽ là nơi không thể tốt hơn khi có thể cung cấp cho họ không chỉ "vũ khí" - những lỗ hổng phần mềm có thể khai thác - mà cả nguồn nhân lực, gồm các chuyên gia về công nghệ bảo mật cho các quốc gia này.

Nguyễn Hải
Internet
Quỳnh.
Theo Trí Thức Trẻ