Sejarah Pasar Zero-Day Amerika yang Tak Terungkap


“Dengan pecahnya Uni Soviet, Anda memiliki banyak orang dengan keterampilan, tanpa pekerjaan,” Sabien menjelaskan. Di Eropa, peretas, beberapa berusia 15 dan 16 tahun, memperdagangkan penemuan mereka ke dealer zero-day yang akan berbalik dan menjualnya langsung ke lembaga pemerintah dan pialang mereka. Beberapa dari peretas paling berbakat, kata Sabien kepada saya, berada di Israel, veteran Israel Unit 8200. Salah satu yang terbaik adalah seorang anak Israel berusia 16 tahun.

Itu adalah bisnis yang tertutup dan berbelit-belit. Tim Sabien tidak dapat benar-benar memanggil peretas, meminta mereka untuk mengirim exploit mereka melalui email, dan mengirimkan cek kembali kepada mereka. Bug dan eksploitasi harus diuji dengan cermat di banyak sistem. Terkadang peretas dapat melakukan ini melalui video. Tetapi sebagian besar kesepakatan dilakukan secara tatap muka, seringkali di kamar hotel di konvensi peretas.

Tim Sabien semakin mengandalkan tengkulak keruh itu. Selama bertahun-tahun, katanya, majikannya mengirim seorang perantara Israel dengan tas ransel berisi uang tunai senilai setengah juta dolar untuk membeli bug zero-day dari peretas di Polandia dan di seluruh Eropa Timur.

Setiap langkah dalam struktur pembuatan kesepakatan yang sangat kompleks ini mengandalkan kepercayaan dan omertà. Pemerintah harus mempercayai kontraktor untuk memberikan zero-day yang berhasil. Kontraktor harus mempercayai perantara dan peretas untuk tidak meledakkan eksploitasi dalam perjalanan mereka sendiri, atau menjualnya kembali kepada musuh terburuk kita. Peretas harus percaya bahwa kontraktor akan membayar mereka, tidak hanya melakukan demonstrasi dan mengembangkan variasi bug mereka sendiri. Ini sebelum bitcoin. Beberapa pembayaran dibagikan melalui Western Union, tetapi sebagian besar dilakukan secara tunai.

Anda tidak dapat membayangkan pasar yang kurang efisien jika Anda mencobanya.

Itulah sebabnya, pada tahun 2003, Sabien mencatat bahwa iDefense secara terbuka membayar peretas untuk bug mereka dan memanggil Watters.

Bagi seorang pebisnis seperti Watters, yang mencoba mendorong pasar ke tempat terbuka, apa yang dilakukan kontraktor itu bodoh, bahkan berbahaya.

“Tidak ada yang ingin berbicara secara terbuka tentang apa yang mereka lakukan,” kenang Watters. “Ada seluruh misteri di dalamnya. Tapi semakin gelap pasarnya, semakin kurang efisien. Semakin terbuka pasar, semakin matang, semakin banyak pembeli yang memegang kendali. Sebaliknya mereka memilih untuk bekerja di luar kotak Pandora, dan harga terus naik. ”

Pada akhir 2004, ada permintaan baru dari pemerintah lain dan perusahaan depan, yang semuanya terus menaikkan harga eksploitasi dan mempersulit iDefense untuk bersaing.

Saat pasar menyebar, yang bermasalah Watters bukanlah efek pasar pada iDefense; itu adalah potensi yang meningkat untuk perang dunia maya habis-habisan. “Ini seperti memiliki nuklir siber di pasar yang tidak diatur yang dapat dibeli dan dijual di mana pun di dunia tanpa kebijaksanaan,” katanya kepada saya.

Kepastian era Perang Dingin — dengan ekuilibriumnya yang dingin — memberi jalan bagi belantara digital yang belum terpetakan. Anda tidak yakin di mana musuh akan muncul atau kapan.

Badan-badan intelijen Amerika mulai semakin mengandalkan spionase dunia maya untuk mengumpulkan data sebanyak mungkin tentang musuh, dan sekutu, sebanyak mungkin. Tapi itu bukan hanya memata-matai. Mereka juga mencari kode yang dapat menyabotase infrastruktur, menghilangkan jaringan. Jumlah kontraktor Beltway yang ingin memperdagangkan alat-alat ini mulai dua kali lipat setiap tahun, kata Sabien.

Kontraktor besar — ​​Lockheed Martin, Raytheon, Northrop Grumman, Boeing — tidak dapat mempekerjakan spesialis dunia maya dengan cukup cepat. Mereka berburu dari dalam agen intel dan membeli toko-toko kecil seperti milik Sabien. Agen-agen tersebut mulai mendapatkan eksploitasi zero-day dari katalog, ditawarkan oleh Vupen, broker zero-day di Montpelier, Prancis, yang kemudian diubah namanya menjadi Zerodium. Ini mendirikan toko lebih dekat dengan pelanggan terbaiknya di Beltway dan mulai secara terbuka menerbitkan daftar harganya secara online, menawarkan sebanyak $ 1 juta (dan kemudian $ 2,5 juta) untuk cara yang telah dicoba dan diuji untuk meretas iPhone dari jarak jauh. “Kami membayar hadiah BESAR, bukan hadiah bug,” kata slogan itu. Mantan operator NSA memulai bisnis mereka sendiri, seperti Immunity Inc., dan melatih pemerintah asing dalam bidang perdagangan mereka. Beberapa kontraktor, seperti CyberPoint, membawa bisnis mereka ke luar negeri, menempatkan diri mereka di Abu Dhabi, di mana orang Emirat memberi penghargaan yang mahal kepada mantan peretas NSA karena telah meretas musuh-musuhnya, baik yang nyata maupun yang dianggap. Segera, dealer zero-day seperti Crowdfense, yang dijual secara eksklusif ke Saudi dan Emirat, mulai mengalahkan Zerodium dengan satu juta dolar atau lebih. Akhirnya, alat-alat itu akan menyerang orang Amerika.

Diposting oleh : SGP Prize