یک استارتاپ نوپا برای هک گوشی‌ هوشمند ۳ میلیون دلار پرداخت می‌کند

Crowdfense استارتاپ جدیدی است که در شهر دوبی تأسیس شده. این شرکت در نظر دارد به کسانی که روش‌هایی برای هک سیستم‌عامل‌های اندروید، iOS، ویندوز و مک ارائه دهند، ۳ میلیون دلار پرداخت کند. این رقم بالاترین میزانی است که در سال‌های اخیر برای یافتن رخنه‌های امنیتی در سیستم‌های نرم‌افزاری پیشنهاد شده است و هم‌چنین اقدامی بی‌سابقه برای یک استارتاپ نوپا به شمار می‌رود.

این شرکت در روز سه‌شنبه اعلامیه‌ای منتشر کرد مبنی بر اینکه به دنبال روش‌های جدید هک و اکسپلویت‌های روز صفر است. روز صفر به باگ‌ها، روش‌های هک و آسیب‌پذیری‌هایی گفته می‌شود که تاکنون توسط توسعه‌دهندگان نرم‌افزاری شناسایی نشده است. با افزایش ضریب امنیتی در سیستم‌های مختلف و تمرکز روی برطرف کردن آسیب‌پذیری‌های امنیتی، صنعتی پرسود برای یافتن نفوذپذیری به این سیستم‌ها در سال‌های اخیر شکل گرفته است. این شرکت‌ها معمولا اطلاعات خود را به بهایی بسیار بالا در اختیار دولت‌ها و آژانس‌های امنیتی قرار می‌دهند.

اندریا زاپارولی مانزونی، مؤسس Crowdfense، اظهار می‌کند که این شرکت قصد دارد روش‌های هک را از منابع مستقل خریداری کند و سپس آن‌ها را به دستگاه‌های قضایی و آژانس‌های اطلاعاتی بفروشد. او معتقد است این ابزارها در اختیار بخش‌های مردمی سیستم‌های دولتی قرار می‌گیرد و قصد ندارد آن‌ها را در اختیار ارتش‌ها قرار دهد. چنین ابزارهایی می‌تواند برای مبارزه با جرایم شهری و تروریسم مورد استفاده قرار گیرد. وی امیدوار است که خدمات آن‌ها تنها برای جمع‌آوری اطلاعات استفاده شود و برای مقاصدی مانند ایجاد اختلال در سیستم‌های هدف و کاهش عملکرد آن‌ها در نظر گرفته نشده باشد.

در حال حاضر Crowdfense به دنبال اکسپلویت‌های جدید برای سیستم‌عامل‌های ویندوز، مک، iOS و اندروید است و هیچ علاقه‌ای به یافتن آسیب‌پذیری در سایر پلتفرم‌ها مانند اینترنت اشیاء، زیرساخت‌های حیاتی، دستگاه‌های ارتباطاتی و سایت‌های محبوب مانند فیسبوک ندارد. زاپارولی در ادامه اشاره می‌کند که هدف آن‌ها فعالیت با شفافیت بسیار بالا است و نمی‌خواهد اشتباه سایر فعالان این حوزه دوباره مرتکب شود. به‌طور مثال می‌توان به Hacking Team اشاره کرد که یک فروشنده ابزارهای جاسوسی ایتالیایی به شمار می‌رود و به دلیل فروش روش‌های هک و زیر نظر گرفتن به دولت‌های سرکوب‌گر، بسیار بدنام شده است.

تاکنون مشخص نشده است که این استارتاپ با چه کسانی همکاری می‌کند و مشتریان آن نیز نامشخص هستند. به گفته گرداننده این سرویس، محصولات آن‌ها در اختیار مشتریان بسیار معدودی قرار خواهد گرفت و اطمینان پیدا خواهند کرد تا از آن‌ها به‌صورت نامناسب استفاده نشود. در آینده امکان انتشار جزئیات فعالیت این شرکت و روش‌های مورد استفاده آن‌ها وجود خواهد داشت. دولت امارات متحده نیز مجوز فعالیت Crowdfense را در شهر دوبی صادر کرده است. تا وقتی که محصولات آن‌ها در خاک امارات متحده به فروش نرسد و مورد استفاده قرار نگیرد، ممانعت قانونی برای فعالیت وجود نخواهد داشت. البته امارات متحده در گذشته به استفاده نادرست از ابزارهای نفوذ متهم شده است. این کشور در سال ۲۰۱۶ اقدام به بهره‌گیری از اکسپولیت آیفون برای نفوذ به گوشی احمد منصور، یکی از فعالان حقوق بشر در این کشور کرده بود. ابزار مذکور توسط شرکت NSO Group فراهم شده بود که معاهده واسنار نیز توسط این شرکت مورد ملاحظه قرار گرفت. طبق این قرارداد، باید شفافیت لازم جهت استفاده از چنین ابزارهایی فراهم باشد تا برای تحقق اهداف نظامی مورد استفاده قرار نگیرند. امارات متحده جزو کشورهای عضو این معاهده نیست و حق انتخاب فروش به اعضای خارج از این معاهده در دست محققان امنیتی خواهد بود. در حال حاضر بودجه ۱۰ میلیون دلاری برای استارتاپ در نظر گرفته شده و هویت حامیان مالی آن نامشخص است.

آدریل داسوتلز به‌عنوان دلال در حوزه امنیت و کشف آسیب‌پذیری‌ها فعالیت می‌کرد. او در واقع واسطی میان محققان امنیتی و دولت‌ها بود. شرکت تحت مالکیت او یعنی Netragard، سابقه همکاری با دولت‌ها و نهادهای مختلفی از جمله Hacking Team برای فراهم کردن ابزارهای نظارتی دارد. وقتی Hacking Team مورد حمله قرار گرفت و لیست مشتریان آن‌ها افشا شد، وی نیز تصمیم به ترک این کسب و کار گرفت. او معتقد است که رقم اعلام‌شده از سوی Crowdfense منطبق با استانداردهای فعلی بازار است. هم‌چنین ادعا دارد که توانسته است ابزاری برای هک iOS به قیمت ۴ میلیون دلار به فروش برساند. اما نسبت به مدل اقتصادی در نظر گرفته‌شده برای این استارتاپ چندان خوش‌بین نیست؛ زیرا برای سوددهی ممکن است مجبور باشد یک ابزار را به چندین مشتری بفروشد که در آینده مشکل‌ساز خواهد بود.

به هر حال Crowdfense وارد بازاری پرجنب‌وجوش با بازیکنانی قدرتمند و متعدد شده است. به همین جهت راه سختی برای رسیدن به اهداف خود خواهد داشت. شرکت‌های دیگری نیز مانند Zerodium پیشنهادهای میلیون دلاری به یابندگان آسیب‌پذیری‌های امنیتی نرم‌افزارها اعطا می‌کنند و رقابت با آن‌ها چندان آسان به نظر نمی‌رسد

منبع : زومیت