Az utóbbi napokban kisebb pánikot okozott bizonyos körökben, hogy egy eddig kevéssé ismert máltai cég, a ReVuln egy 0-day SCADA sérülékenységek kihasználását bemutató videót tett közzé, nem titkoltan privát exploit kínálata propagálására. A sérülékenységek részleteit a cég a vele kapcsolatba lépő ICS-CERT-nek nem adta ki, az exploitok kizárólag a ReVuln fizető kuncsaftjai számára lesznek megismerhetők a független publikálásig vagy javításig.

Mielőtt azonban elszaladunk lekapcsolni Paksot, érdemes tisztába kerülni néhány dologgal: a SCADA szoftverek jórészt teljesen hagyományos, x86-on, népszerű operációs rendszereken futó komponensekből állnak, melyekben jól ismert módszerekkel lehet sérülékenységeket keresni és a hibakihasználás eszköztára is készen áll. És bár az ember szívesen feltételezné, hogy az általában kritikus funkcionalitást megvalósító szoftverek tervezése és fejlesztése szigorú biztonsági kontrollok mellett történik, a valóságban sajnos elmondható, hogy ezek a termékek (is) gyakran igen silány minőségűek.

Ezt a hazai tapasztalatok mellett Aaron Portnoy rövid kísérlete is alátámasztja: az Exodus Intelligence "kereskedőházat" vezető kutató saját bevallása szerint 23 sérülékenységet talált különböző SCADA szoftverekben egyetlen délelőtt alatt. 

A két eredmény publikálását körülvevő kis szappanopera azt hiszem jól bemutatja a sérülékenység-piac ellentmondásait: Portnoy finom utalásokat tesz, hogy kritikus ipari rendszerek ellen használható exploitokat árulni nem feltétlenül a legetikusabb magatartás, mire Luigi Auriemma, a ReVuln alapítója felemlegeti, hogy Portnoy-ék is elérhetővé teszik partnereik számára a sérülékenység-információkat még a javítás megjelenése előtt, és talán még a kutatóikat is átverik eközben. (A nagyközönség pedig csendben pánikol, hogy mikor zuhan a fejére egy repülő)

A pátoszos érvek és elvek mögött persze leginkább jól kigondolt üzleti modellek és marketing stratégia állnak, melyek mind a maguk módján próbálják felszívni és pénzzé tenni a világ kutatói által rajtakapott bugokat. És bár úgy tűnhet, hogy egy új jelenséggel van dolgunk, mi most valószínűleg csak a kis halak összezörrenéseit látjuk a már évtizedek óta offenzív kutatásokkal foglalkozó, csendben úszkáló "védelmi beszállítók" uralta tengerében.