24 nov. 2015

Precio de los 0-Day en el mercado [Zerodium]

El pasado miércoles, Zerodium la nueva empresa corredora de Zero-day, publicó una lista de precios de exploits para diferentes software, los cuales posteriormente se revenden a consumidores como gobiernos y agencias de inteligencia.
"La primera regla del negocio de los 0-Days es no discutir públicamente los precios. Así que adivinen: vamos a publicar nuestra lista de precios de adquisición" dijo Chaouki Bekrar, CEO de Zerodium.
Según el Zerodium, si un 0-Day permite controlar remotamente un equipo a través de Internet Explorer o Safari, por ejemplo, se obtiene un precio de 50.000 dólares máximo. Si el objetivo es bastante más difícil, como Google Chrome, el precio será de $80.000. El precio aumentará a $100.000 si el objetivo es un teléfono de Windows o Android. El incremento de precio no se detiene aquí, ataques a iOS pueden ganar $150.000, el cual es el mayor precio en la tabla.
La empresa informa explícitamente que los corredores que le vendan 0-Day, este debe ser visto solo por Zerodium; los atacantes no pueden revenderlo a otros clientes o revelarlos al vendedor del software. Zerodium especifica que pagará los precios mencionados por vulnerabilidades "exclusivas, originales y previamente no denunciadas".

Según la página de preguntas frecuentes de Zerodium sus clientes incluyen, "organizaciones gubernamentales que necesitan capacidades de ciberseguridad a medida y específicos". Por otro lado, dice Bekrar, los clientes pagan anualmente tarifas de suscripción de un mínimo U$S 500.000 para el acceso a sus vulnerabilidades.

"Apple iOS, como todo sistema operativo, a menudo es afectado por vulnerabilidades críticas, sin embargo debido al creciente número de mejoras en la seguridad y la eficacia de las mitigaciones, iOS de Apple actualmente es el sistema operativo móvil más seguro. Seguro no significa irrompible, sino sólo que iOS tiene actualmente el precio más alto debido a la complejidad de explotación de sus vulnerabilidad y aquí es donde entra en juego el millón de dólares en premios" dijo Zerodium en septiembre.

En 2013, Muckrock demostró que la NSA es uno de los clientes de Vupen. Justin Schul de Google llamó a Bekrar un "oportunista éticamente cuestionado". Mientras que el tecnólogo Chris Soghoian lo llamo "mercader moderno de la muerte, vendiendo las balas de guerra cibernética".

Fuente: SecurityAffairs

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!