یک استارتاپ تازهتأسیس در دوبی، اعلام کرده است که در قبال هک اندروید و iOS سه میلیون دلار جایزه پرداخت میکند.
نوپانا به نقل از زومیت: Crowdfense استارتاپ جدیدی است که در شهر دوبی تأسیس شده. این شرکت در نظر دارد به کسانی که روشهایی برای هک سیستمعاملهای اندروید، iOS، ویندوز و مک ارائه دهند، ۳ میلیون دلار پرداخت کند. این رقم بالاترین میزانی است که در سالهای اخیر برای یافتن رخنههای امنیتی در سیستمهای نرمافزاری پیشنهاد شده است و همچنین اقدامی بیسابقه برای یک استارتاپ نوپا به شمار میرود.
این شرکت در روز سهشنبه اعلامیهای منتشر کرد مبنی بر اینکه به دنبال روشهای جدید هک و اکسپلویتهای روز صفر است. روز صفر به باگها، روشهای هک و آسیبپذیریهایی گفته میشود که تاکنون توسط توسعهدهندگان نرمافزاری شناسایی نشده است. با افزایش ضریب امنیتی در سیستمهای مختلف و تمرکز روی برطرف کردن آسیبپذیریهای امنیتی، صنعتی پرسود برای یافتن نفوذپذیری به این سیستمها در سالهای اخیر شکل گرفته است. این شرکتها معمولا اطلاعات خود را به بهایی بسیار بالا در اختیار دولتها و آژانسهای امنیتی قرار میدهند.
اندریا زاپارولی مانزونی، مؤسس Crowdfense، اظهار میکند که این شرکت قصد دارد روشهای هک را از منابع مستقل خریداری کند و سپس آنها را به دستگاههای قضایی و آژانسهای اطلاعاتی بفروشد. او معتقد است این ابزارها در اختیار بخشهای مردمی سیستمهای دولتی قرار میگیرد و قصد ندارد آنها را در اختیار ارتشها قرار دهد. چنین ابزارهایی میتواند برای مبارزه با جرایم شهری و تروریسم مورد استفاده قرار گیرد. وی امیدوار است که خدمات آنها تنها برای جمعآوری اطلاعات استفاده شود و برای مقاصدی مانند ایجاد اختلال در سیستمهای هدف و کاهش عملکرد آنها در نظر گرفته نشده باشد.
در حال حاضر Crowdfense به دنبال اکسپلویتهای جدید برای سیستمعاملهای ویندوز، مک، iOS و اندروید است و هیچ علاقهای به یافتن آسیبپذیری در سایر پلتفرمها مانند اینترنت اشیاء، زیرساختهای حیاتی، دستگاههای ارتباطاتی و سایتهای محبوب مانند فیسبوک ندارد. زاپارولی در ادامه اشاره میکند که هدف آنها فعالیت با شفافیت بسیار بالا است و نمیخواهد اشتباه سایر فعالان این حوزه دوباره مرتکب شود. بهطور مثال میتوان به Hacking Team اشاره کرد که یک فروشنده ابزارهای جاسوسی ایتالیایی به شمار میرود و به دلیل فروش روشهای هک و زیر نظر گرفتن به دولتهای سرکوبگر، بسیار بدنام شده است.
تاکنون مشخص نشده است که این استارتاپ با چه کسانی همکاری میکند و مشتریان آن نیز نامشخص هستند. به گفته گرداننده این سرویس، محصولات آنها در اختیار مشتریان بسیار معدودی قرار خواهد گرفت و اطمینان پیدا خواهند کرد تا از آنها بهصورت نامناسب استفاده نشود. در آینده امکان انتشار جزئیات فعالیت این شرکت و روشهای مورد استفاده آنها وجود خواهد داشت. دولت امارات متحده نیز مجوز فعالیت Crowdfense را در شهر دوبی صادر کرده است. تا وقتی که محصولات آنها در خاک امارات متحده به فروش نرسد و مورد استفاده قرار نگیرد، ممانعت قانونی برای فعالیت وجود نخواهد داشت. البته امارات متحده در گذشته به استفاده نادرست از ابزارهای نفوذ متهم شده است. این کشور در سال ۲۰۱۶ اقدام به بهرهگیری از اکسپولیت آیفون برای نفوذ به گوشی احمد منصور، یکی از فعالان حقوق بشر در این کشور کرده بود. ابزار مذکور توسط شرکت NSO Group فراهم شده بود که معاهده واسنار نیز توسط این شرکت مورد ملاحظه قرار گرفت. طبق این قرارداد، باید شفافیت لازم جهت استفاده از چنین ابزارهایی فراهم باشد تا برای تحقق اهداف نظامی مورد استفاده قرار نگیرند. امارات متحده جزو کشورهای عضو این معاهده نیست و حق انتخاب فروش به اعضای خارج از این معاهده در دست محققان امنیتی خواهد بود. در حال حاضر بودجه ۱۰ میلیون دلاری برای استارتاپ در نظر گرفته شده و هویت حامیان مالی آن نامشخص است.
آدریل داسوتلز بهعنوان دلال در حوزه امنیت و کشف آسیبپذیریها فعالیت میکرد. او در واقع واسطی میان محققان امنیتی و دولتها بود. شرکت تحت مالکیت او یعنی Netragard، سابقه همکاری با دولتها و نهادهای مختلفی از جمله Hacking Team برای فراهم کردن ابزارهای نظارتی دارد. وقتی Hacking Team مورد حمله قرار گرفت و لیست مشتریان آنها افشا شد، وی نیز تصمیم به ترک این کسب و کار گرفت. او معتقد است که رقم اعلامشده از سوی Crowdfense منطبق با استانداردهای فعلی بازار است. همچنین ادعا دارد که توانسته است ابزاری برای هک iOS به قیمت ۴ میلیون دلار به فروش برساند. اما نسبت به مدل اقتصادی در نظر گرفتهشده برای این استارتاپ چندان خوشبین نیست؛ زیرا برای سوددهی ممکن است مجبور باشد یک ابزار را به چندین مشتری بفروشد که در آینده مشکلساز خواهد بود.
به هر حال Crowdfense وارد بازاری پرجنبوجوش با بازیکنانی قدرتمند و متعدد شده است. به همین جهت راه سختی برای رسیدن به اهداف خود خواهد داشت. شرکتهای دیگری نیز مانند Zerodium پیشنهادهای میلیون دلاری به یابندگان آسیبپذیریهای امنیتی نرمافزارها اعطا میکنند و رقابت با آنها چندان آسان به نظر نمیرسد.