¿Cuánto vale un bug de seguridad?

¿Cuánto vale un bug de seguridad?

¿Cuánto vale un hack-exploit 0day en el mercado informal-negro-mafia-gubernamental?

Estas son el tipo de cosas que uno intuye, que algunos conocen, pero que a pocos o nadie de los humanos comunes y silvestres le importa.
Este artículo apareció hace un tiempo en forbes.

¿Que tan seguro es el software que utilizamos?. ¿Se puede ganar dinero hackeando y explotando fallas en software conocido?. ¿Cuanto?. ¿Quienes pagan por esto?.

La gran mayoría (hoy) sabe que existe gente que es capaz de vulnerar la seguridad de cualquier software.
Hackers (crackers en algunos casos) que son capaces de entrar sin permiso, a través de esos errores que se introducen involuntariamente (no siempre) en el desarrollo de un software, errores inherentes a nuestra naturaleza humana.

Los reales, son capaces de descubrir fallas por si solos (o en grupos de Hackers).

Cuando un Hacker descubre un error en un software, un error crítico, tiene varias alternativas (expondré solo algunas):
.- Lo da a conocer públicamente, muestra el método de explotarlo, y se hace reconocido. Podría eventualmente obtener beneficios de esto, vía consultorias de seguridad, o un nuevo trabajo en alguna empresa que quiera los servicios de este iluminado, etc. Tambien podria eventualmente, seguir este camino, traerle complicaciones legales: la empresa afectada podria demandarlo por los daños causados. Geohot, quien liberó las keys privadas de la PS3 permitiendo los primeros customfirmwares (aunque no fue el único), fue demandado por Sony. Geohot, en todo caso, obtuvo un trabajo en Facebook gracias a eso.
.- Lo da a conocer a la compañía afectada, espera que esta se lo agradezca ya sea con alguna donación, pago por servicio de consultoria-seguridad, o simplemente un “gracias” público. Este último agradecimiento público puede traer beneficios como en el ítem anterior: trabajo.
Compañias como Google tienen programas y protocolos donde una persona que descubra, por ejemplo, un bug crítico en el navegador Chrome, y quiera revelarle el fallo a Google, lo hace confidencialmente. Y Google se compromete a pagarle hasta un cuarto de millon de dolares fácilmente por esa “ayuda”.
Google no es el único que paga por estas “ayudas” de hackers y vulnerabilidades de su software.
.- No lo da a conocer, a nadie. Y lo explota personalmente para beneficio propio. Virus, malware, robo de datos, tráfico de información crítica, robo de identidad, etc. Un largo etc.

Pero existe una alternativa no tan conocida: vender el exploit a alguna mafia, empresa con fines no muy blancos, o a un gobierno que se interesa en este tipo de “bienes”.

Un bug, un hack, un exploit no revelado, comúnmente llamado “0day” (por lo nuevo), puede valer MUCHO.
Aquí una tabla de lo que vale, en dinero (dolares gringos), un bug crítico en alguno de estos softwares:
exploitpricechart

Este costo depende mucho de que tan cerrada sea la plataforma, y obviamente, de que tan popular y utilizada sea en todo el mundo.
Por eso los bugs en Windows, Chrome, Internet Explorer e iOS (el sistema operativo de los iPhones y iPads) son tan cotizados.

Que exista hoy en día un hack público que permita hacer jailbreak a los iPhones con iOS 5.x, no significa que ese sea EL ÚNICO bug que existe en iOS 5.x.
Hay gente que descubre (por decir) dos, diez, decenas de bugs más, en el mismo iOS 5.x, bugs quizás mucho más delicados que los conocidos… y no los revelan. No públicamente.

Los venden.

Gobiernos como el de Estados Unidos, los de los Paises Europeos, Chinos y Rusos son traficantes habituales de estos exploits 0day. Lo confirman hackers que tratan con ellos, y que de hecho, se ganan la vida con los ingresos que logran hacer encontrando estas vulnerabilidades y vendiendolas. Y quienes compran esta información, ¿qué hacen ella? ¿qué con estos bugs y exploits?. ¿No creerás que los espías en la actualidad solo funcionan como el Super Agente 86… o si?.

La nota completa por acá:
http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/

Show Comments Hide Comments