Dél-Afrikától Dél-Koreáig virágzik a hackerek által csak „nulladik napi támadásnak” nevezett forráskódbeli hibákkal való kereskedés. A „nulladik napi támadás” egy biztonsági fenyegetés, amely egy számítógépes alkalmazás olyan sebezhetőségét használja ki, amely még nem vált nyilvánossá, a szoftver fejlesztője nem tud róla, vagy nem érhető még el rá a biztonsági javítás.
Az üzlet értékét tovább növelik azok az országok, amelyek saját céljaik elérésére vásárolnak szoftverhibákat. Három évvel ezelőtt az Egyesült Államoknak és Izraelnek sikerült a Stuxnet féregvírus segítségével megtámadnia az iráni urándúsító programot.
„A kormányok egyre inkább azt vallják, hogy az ország hatékonyabb védelme érdekében meg kell találni a más országokban meglévő sérülékeny pontokat” – mutatott rá Howard Schmidt fehér házi számítógépes biztonsági koordinátor. „A gond az, hogy alapjában mindnyájunk biztonsága egyre csökken.”
Tíz évvel ezelőtt a hackerek még egy céges pólóért vagy az érintett vállalat honlapján való szereplésért ingyen felajánlották volna az ilyen hibákat a Microsoftnak vagy a Google-nak. Kínában az úgynevezett hazafias hackerek ma is rendszeresen adnak át információkat a kormánynak.
Mostanra a számítógépek sérülékenységével kapcsolatos adatok valóságos aranybányává váltak. Edward Snowden, az amerikai Nemzetbiztonsági Ügynökség (NSA) volt szerződéses munkatársa kiszivárogtatása révén egyértelmű vált, hogy az Egyesült Államok is a programhibák vásárlói között van. A legnagyobb vásárlók között van még Izrael, Nagy-Britannia, Oroszország, India és Brazília. A piacon van Észak-Korea és több közel-keleti titkosszolgálat is. Malaysia és Szingapúr szintén vásárol ilyen szoftverhibákat a washingtoni Stratégiai és Nemzetközi Tanulmányok Központja (CSIS) szerint.
Az eladók és vásárlók egymásra találását brókerek segítik, de egyes cégek nyíltan hirdetik tevékenységüket. Egy virginiai start-up cég, az Endgame, amelyben az NSA egyik egykori igazgatója is fontos szerepet játszik, kevésbé nyíltan taglalja a szolgáltatásait. Számos olyan eszközt dolgozott azonban ki, amelyeket elsődlegesen az Egyesült Államok kormányzata részére értékesít, és amelyekkel az internetes kémkedéssel és támadásokkal szemben lehet fellépni.
A Netragard alapítója elárulta, hogy az ügyfeleik „kizárólag amerikaiak”, és a cég nulladik napi támadások portfóliója az elmúlt három évben megkétszereződött. Egy átlagos szoftverhiba ára jelenleg 35 ezer és 160 ezer dollár között mozog (7,8–35,8 millió forint).
Chaouki Bekrar, a Vupen alapítója elmondta, hogy a cége nem értékesít olyan vevőknek, akik az Európai Unió, az Egyesült Államok és az ENSZ tilalmi listáján szerepelnek. Mint mondta, az igény növekedésével a bevételük évente megduplázódik.
A nagy számítógépes cégek is programot indítottak, amely keretében fizetnek a hibáikat feltáró hackereknek. Tíz évvel ezelőtt a Mozilla Foundation indította az első ilyen programot, a Firefox böngésző hibáiért fizetve. Azóta a Google, a Facebook és a PayPal is követte a példát.
A Google a Chrome böngésző súlyosabb hibáiért tavaly már akár 20 ezer dollárt is fizetett. A programot sokáig ellenző Microsoft a múlt hónapban jelentette be, hogy akár 150 ezer dollárt is fizet egy hibáért, a védekezési megoldással együtt.
