La venta de exploits de día cero es un negocio muy redituable que la mayoría de la gente ignora por completo. El Instituto Internacional de Seguridad Cibernética retoma como ejemplo de esta práctica al popular broker de exploits Zerodium.
Acorde a la propia empresa, Zerodium ofrece recompensas a los investigadores de seguridad y pruebas de penetración para adquirir sus investigaciones originales de vulnerabilidades día cero que afecten a los principales sistemas operativos, software y dispositivos.
“Si bien la mayoría de los programas de bonificación de errores existentes aceptan casi cualquier clase de vulnerabilidades, pero pagan recompensas muy bajas, en ZERODIUM nos enfocamos en vulnerabilidades de alto riesgo con exploits completamente funcionales, y pagamos las recompensas más altas en el mercado”, se puede leer en su portal web.
Zerodium, al igual que otros brokers de día cero, compra las investigaciones y hallazgos y los vende a agencias gubernamentales y de inteligencia, pero muchos defensores de la privacidad temen que estas fallas puedan ser utilizadas por agencias de vigilancia que venden sus productos a regímenes autoritarios.
La compañía ofrece recompensas de hasta 500 mil dólares por exploits de día cero en sistemas operativos basados en UNIX, incluidos OpenBSD, FreeBSD, NetBSD. La misma oferta es para exploits desarrollados a partir de distribuciones populares de Linux como Ubuntu, CentOS, Debian y Tails.
Los precios de estos hallazgos varían por varios factores, incluidas las cuotas de mercado de las plataformas o sistemas afectados (los exploits de día cero de Windows suelen ser más valiosos que los de Linux, por ejemplo) y el nivel de interacción del usuario requerido para la explotación de las vulnerabilidades.
Otros factores influyen son la confiabilidad para ejecutar el exploit, el número de vulnerabilidades que los atacantes necesitan encadenar para explotar el error, la tasa de éxito y la configuración del sistema operativo que es necesaria para la explotación.
Acorde a especialistas en pruebas de penetración, en ocasiones pasadas Zerodium llegó a ofrecer hasta 1.5 millones por un exploit de día cero para iOS.
Si observamos la lista de precios para exploits día cero, podemos observar que los códigos de explotación para entornos de servidor Linux tienen grandes recompensas, pero los exploits móviles siguen siendo los más caros en el mercado de la investigación sobre vulnerabilidades.
Recientemente un nuevo competidor irrumpió en la escena del mercado día cero, es Crowdfense que lanzó un programa de adquisición con premios de hasta 10 millones de dólares por investigaciones y pruebas de penetración sobre esta práctica informática.
Fuente: Noticiasseguridad.com