Du följer nu ämnet: STOCKHOLMS STAD (sparas i Mitt DN)
Ekonomi

Handeln med buggar omsätter miljoner – de är nätets prisjägare

Google, Facebook och andra globala techbolag har gett upp inför den svarta marknaden där kriminella handlar med säkerhetsluckor. I stället bjuder de in hackarna att angripa deras system – och betalar tiotals miljoner kronor till de som lyckas.

DN har mött svenskarna som tar chansen att hacka storbolag lagligt.

Linus Särud var 14 år gammal när han hackade Google.

Sedan skrev han till företagets säkerhetsavdelning och visade vad han hade gjort. Strax hade Google svarat. Han fick ett tackbrev – "snyggt fångat!" och 20 000 kronor insatta på sitt konto.

– En 13-åring hade just blivit känd för att ha hittat ett säkerhetshål. Mamma hade skämtat om att jag också borde göra något vettigt vid datorn, säger han.

Buggen han hade upptäckt var i högsta grad verklig. Den fanns i översättningstjänsten Google Translate och lät honom stoppa in sin egen kod utan att företaget kunde stoppa det, ett knep som ofta används för att stjäla personlig, hemlig information.

I dag är han 16 år gammal, bor i Mjölby och ska snart börja på teknisk linje i gymnasiet. Han har fortsatt att leta buggar på stora, välkända webbplatser. Några har han hittat, men ännu ingenting som har gett mer uppmärksamhet eller pengar än Googlebuggen för två år sedan.

Han är långt ifrån ensam.

Mathias Karlsson, 23 år gammal, har hackat fler storföretag än han kan minnas. När DN träffar honom letar han fram listan i datorn och rabblar namn: Paypal, Google, Facebook, Microsoft, Soundcloud, Adobe, Nokia, Deutsche Telekom, Reddit, Linkedin...

De har inte bara varit tacksamma för säkerhetshålen han har luskat fram. De har betalat honom för informationen. I vissa fall stora pengar.

– Hittills i år har jag fått in omkring 450 000 kronor, säger han när DN möter honom tidigt i juni.

– Då har jag jobbat ungefär halvtid med det.

I USA kan dataintrång ge tiotals år i fängelse. Svenska domstolar kan låsa in hackare i sex år, om brottet är grovt. Så hur kan det komma sig att Linus, Mathias och en rad andra svenskar kan leta upp och utnyttja säkerhetsluckor hos några av världens största webbföretag utan att bli straffade?

Förklaringen ligger i en ny syn på it-säkerhet som har fått fäste i Silicon Valley på senare tid. Tidigare har maximal kontroll varit ledordet. Varje försök till mixtrande med servrar och webbsystem skulle stävjas. Minutiös övervakning skulle upptäcka en hackare så snabbt som möjligt, snabbt slå till och stänga den ute.

Enda gången man tillät riktigt säkerhetstester var under kontrollerade former, då städade konsultbolag hyrdes in för att genomlysa system i jakt på säkerhetsluckor. Sådant arbete, i branschen kallat penetrationstester, är egentligen inte vad en prisjägare gör. De jagar buggar hos företag de aldrig blivit anlitade av, buggar som de sedan säljer till företagen.

På engelska kallas det att vara "bug bounty hunter", prisjägare med digitala säkerhetshål i stället för efterlysta tågrånare som handelsvara.

Företagen, och till den här skaran räknas snart sagt alla stora tech- och webbföretag, har upprättat särskilda program för den som vill hacka dem på ett ansvarsfullt sätt. Det betyder att man överlämnar sina upptäckter till företaget i stället för att läcka dem på nätet eller sälja dem till kriminella. Man förväntas avsluta attacken innan man kommer över mer känslig data än nödvändigt. Riktiga användares konton ska inte angripas och man ska inte skapa bestående skada.

Så länge man följer reglerna är det fritt fram att hacka riktiga, uppkopplade servrar hos företag som Google, Microsoft, Dropbox och Facebook. (Den hugade bör ta reda på exakt vad som gäller för företaget i fråga.)

En stor marknad har vuxit fram. Facebook har hittills betalat hackare omkring 25 miljoner kronor, Google drygt 33 miljoner kronor.

Tanken med att köpa buggarna var att möta en växande svart marknad, där kriminella köper och säljer säkerhetshål och attackprogram. Information om en sårbarhet som kan låta en brottsling håva in kontokortsnummer eller länsa konton i en internetbank är värda stora summor.

Företagens motdrag: Köp buggarna från hackarna innan de kriminella gör det. Om betalningen är bättre än den på svarta marknaden kan diskuteras, men till exempel Google har ett tak på 20 000 dollar för de allvarligaste säkerhetshålen. Varje säkerhetshål som hinner lagas innan de utnyttjas gör systemet bättre. Ur företagens perspektiv är detta den ekonomiska logiken bakom buggprogrammen – de betalar för att få säkrare sajter, om än på ett udda sätt.

– I början var det vissa som sa "vi förhandlar inte med terrorister". Men de försvann ganska snabbt, för det visade sig fungera, säger Mathias Karlsson.

Det ska noteras att långt ifrån alla som tjänar pengar på buggjakt någonsin har sett den svarta marknaden som ett alternativ. Det gäller både Linus Särud och Mathias Karlsson. Men Mathias Karlsson minns hur känsligt det var att prata om säkerhetshål man hade upptäckt innan företagen startade sina buggjägarprogram.

– Jag använde ett annat namn då, vilket vill jag inte säga. Det var en mer "shady" tid. Då vågade man inte säga att man hade hackat något av rädsla för att åka i finkan.

Hans kommersiella buggjagande började för ett par år sedan. Efter några snabba träffar som betalade sig bra såg han chansen att göra det på heltid. Han sa upp sig från sitt jobb och dök ner i jakten. Nya företag tillkom varje dag, det var som att Google och Facebook hade suddat bort osäkerheten. Vågar de så vågar vi, tycks många ha tänkt.

Arbetsdagarna som prisjägare på heltid var speciella: Först sökte Mathias Karlsson av vilka program som betalade bäst just nu. Den lägsta ersättningsnivån var viktig: Även enkla buggar måste ge ett par hundra dollar, annars är det inte värt besväret. Han valde gärna obskyra program, sådana som inte redan hade horder med hackare på jakt efter prispengar efter sig.

Från soffan hemma i lägenheten i en av Stockholms södra förorter knäckte han system efter system, radade upp säkerhetshålen, skickade in dem och fick betalt. Det gick bra. Han drog in tiotusentals kronor varje månad, berättar han. Enda nackdelen var livsstilen som följde med: Ständigt jobb från hemmet, allt mindre kontakt med andra människor. Snart började han ta konsultuppdrag för variationens skull, medan han fortsatte att lista ut hur storföretagens sajter kan knäckas på deltid.

Många förhåller sig just så till prisjägarlivet, som en spännande och ofta rejält lönsam extrasyssla.

Än så länge är det mest amerikanska bolag som erbjuder hackare pengar. Det var där allt började, och än så länge har svenska företag varit långsamma med att följa efter.

Linus Särud berättar att han har hört av sig till många företag i Sverige som saknar organiserade buggjägarprogram. Reaktionerna har varierat när han berättar om sina upptäckter.

– Jag kunde bli ignorerad eller bara få ett tack. Men det hände också att de blev sura, till och med hotade med att polisanmäla, säger han.

Spotify är ett av få undantag. Musiktjänsten lovar från 250 dollar, beroende på hur allvarligt hålet är.

 

Skulle man läcka de här grejerna så skulle det ju skada dem.

 

Swedbank öppnade i höstas som första svenska bank för allmänheten att lämna över information om säkerhetshål utan att frukta polisanmälan. Den som gör det kan få en symbolisk summa för besväret, enligt banken.

– Men vi vill inte erbjuda ett bug bounty-program, säger Peter Lundin, informationssäkerhetsansvarig på Swedbank.

Att som bank göra det vore kontroversiellt. Den nya policyn för hur buggar kan rapporteras är en slags kompromiss.

– Det är ett svårt dilemma: Bjuder man in hackare att angripa en?

Ett 50-tal rapporter har inkommit, fördelade på bankens fyra hemmamarknader. Det betyder att 50 säkerhetshål som annars hade varit öppna nu är lagade. Bland säkerhetsfolk viskas det om att Swedbank visst betalar ordentligt för informationen men inte vill säga det utåt, något Peter Lundin inte bekräftar.

Kan inte en riktig brottsling komma undan genom att säga att han bara forskade efter säkerhetshål?

– Vi har inte sett någon ökad intrångsaktivitet på grund av policyn, men det har funnits med i vår riskkalkyl.

Även de som lever på prisjägarprogrammen kan se nackdelarna.

– Det är inte något för alla, säger Kymberlee Price.

Hon är operativ chef på Bugcrowd, ett företag i Seattle som hjälper företag att driva buggjägarprogram. I många år arbetade hon med säkerhetsfrågor på Microsoft, som länge hade en omtalat skeptisk inställning till att betala för säkerhetshål.

Men sedan dess har även Microsoft gjort helt om. I dag lovar företaget upp till 100 000 dollar för information om allvarliga brister i Windows.

– Det tog många år innan branschen var mogen att inse att de som rapporterar säkerhetshål inte är ”the bad guys” och att det inte bara är möjligt – utan nödvändigt – att samarbeta med dem, säger hon.

– Vissa företag fruktar att de genom att erbjuda pengar skulle ge incitament åt ökända och opålitliga säkerhetsexperter att attackera dem och få betalt för det. Men när man tänker igenom det så ser man att det finns ingenting som hindrar en hänsynslös hackare från att attackera samma företag ändå.

Även underrättelsetjänster och spionorganisationer intresserar sig för säkerhetshål. Amerikanska NSA betalade 211 miljoner kronor för tidigare okända säkerhetshål bara under 2013, enligt Washington Post. En kartläggning från Reuters slog samtidigt fast att den amerikanska staten hade blivit världens största köpare av säkerhetshål och attackprogram.

Många av buggarna ska ha levererats av det franska säkerhetsföretaget Vupen, som är specialister på handel med oupptäckta säkerhetshål. Sådana brukar kallas "zero days" och är de mest eftertraktade, eftersom angriparen kan räkna med att de inte är lagade någonstans. Till exempel ger en information om en zero day-bugg i Windows möjlighet att angripa Windowsdatorer över hela världen – toppintressant för både kriminella och underrättelsetjänster.

Med andra ord, handeln har börjat ta sig tre olika yttringar: Den rent kriminella, den som sker bland ljusskygga spionmyndigheter och till sist den öppna, lagliga som prisjägarprogrammen representerar.

Två år har gått sedan Linus Särud knäckte Googleservern. Förutom pengarna fick han ett hedersomnämnande på listan som Google publicerar. Det är fortfarande hans främsta bedrift, även om han har fortsatt att rapportera buggar till företag. Ibland har han fått höra att någon annan har hunnit före, men från vissa – framför allt svenska – har han börjat få små tacksamhetsgåvor. Presentkort från en känd e-handlare där han hittade fel på sajten som öppnade för intrång, till exempel.

Kanske är det ett tecken på att buggjägarprogrammen är på intåg även i Sverige, om än med små steg. Swedbanks policy kan också tyda på det, även om banken i Linus Säruds ögon borde kunna betala ordentligt för hackares tjänster, även när de inte har bett om dem.

– Det är bättre än inget, man får åtminstone veta att man kan rapportera dit utan att råka ut för rättsliga åtgärder. Men de kunde gott betala för sig. Skulle man läcka de här grejerna så skulle det ju skada dem.

Buggjakt

• Prisjägarprogram, på engelska bug bounty programs, innebär att it-företag erbjuder sig att köpa information om säkerhetshål i de egna systemen.

• I praktiken bjuder de därmed in hackare att leta svagheter i deras system, något som annars skulle kunna vara olagligt.

• Företag har länge anlitat konsultfirmor som "hackar" deras system för att upptäcka säkerhetshål. Detta kallas penetrationstester. Men prisjägarprogrammen skiljer sig genom att de låter vem som helst, även de som inte har anlitats, att leta säkerhetshål som företagen betalar för.

• Enstaka prisjägarprogram fanns redan på 1990-talet, men antalet har exploderat på senare år.

Så fungerar det

1. Ett it-företag utlyser en prisjakt efter buggar och bjuder därmed in hackare att angripa deras system.

Prissummor och regler utannonseras. Ofta definieras hur hackare ska bete sig för att inte orsaka verklig skada när de letar säkerhetshål.

2. Hackandet sätter i gång. Ofta riktas attackerna mot verkliga servrar som är i drift.

3. En hackare upptäcker ett säkerhetshål, dokumenterar sitt fynd och skickar in det till företaget.

4. Om säkerhetshålet tidigare är okänt betalar företaget ut pengar, från symboliska summor till tio- eller hundratusentals kronor.

5. Samtidigt använder företaget informationen från hackaren för att säkra upp sina system.

Svart marknad omsätter stora pengar

Trots tiotals miljoner i ersättning har it-företag svårt att mäta sig mot pengarna på den svarta marknaden för säkerhetshål.

Ett allvarligt säkerhetshål i en sajt eller mjukvara kan hjälpa it-brottslingar att komma över kreditkortsuppgifter eller länsa konton i internetbanker, vilket är extremt lönsamma brottsformer.

De allvarligaste kan inbringa upp till 300 000 dollar på svarta marknanden, enligt en rapport som tankesmedjan Rand Corporation släppte i fjol. Siffran har dock ifrågasatts, och dess kritiker menar att upp mot 80 000 dollar är en mer realistisk siffra, skriver tekniksajten ZDNet.

Tidigare i år dök en ny marknadsplats för säkerhetshål och hackarverktyg upp. Den kallades The real deal och erbjöd bland annat vad som sades vara ett sätt att hacka vilket Apple-konto som helst. Priset ska ha varit 17 000 dollar enligt Wired, men det är svårt att säga om metoden verkligen fungerade.

Miljoner för buggar

Google

Totalt betalat: Över 4 miljoner dollar sedan 2010.

Betalar mellan 100 och 50 000 dollar för säkerhetshål i företagets tjänster och produkter. Ökade i fjol ersättningen för hål i webbläsaren Chrome till upp till 15 000 dollar. Gav ersättning till över 200 personer bara under 2014.

Facebook

Totalt betalat: Över 3 miljoner dollar sedan 2011.

Betalar från 500 dollar och uppåt för säkerhetshål. Lovar att varken stämma eller polisanmäla hackare som inte förstör webbplatsen eller attackerar enskilda användare.

Under 2014 gav buggarna i genomsnitt 1788 dollar, motsvarande närmare 15 000 kronor.

Microsoft

Totalt betalat: 500 000 dollar sedan 2013.

Lovade för två år sedan upp till 100 000 dollar för riktigt allvarliga säkerhetshål i Windows, vilket delades ut till en brittisk säkerhetsforskare. Har sedan dess startat flera ytterligare program, bland annat gällande webbtjänster.

Fler som betalar:

Yahoo: Upp till 15 000 dollar

Samsung: Från 1000 dollar för den som hittar sätt att hacka deras smart-tv.

Deutsche telekom: Betalar okänd summa för säkerhetshål på den egna webbplatsen.

Spotify: Lovar minst 250 dollar för buggar i programmet eller webbplatsen. "Var god och attackera bara testkonton du själv kontrollerar", uppmanar företaget.

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.
Kommentera artikeln
I samarbete med tjänsten Ifrågasätt erbjuder DN möjligheten att kommentera vissa artiklar. Håll dig till ämnet och håll en god ton. Visa respekt för andra skribenter och berörda personer i artikeln. Vi tar bort inlägg som vi bedömer är olämpliga.