8 oct. 2012

El negocio de la venta de vulnerabilidades

La venta de vulnerabilidades de software es un gran negocio y su práctica tiene implicaciones sorprendentes para la seguridad de las aplicaciones e incluso para la seguridad nacional.

Resulta que las agencias del gobierno están dispuestos a pagar seis cifras para obtener los detalles exclusivos de fallas explotables en software y sistemas operativos, y hay un montón de compañías y "corredores de bugs" listos para venderse al mejor postor. Pero, ¿quién vigila para asegurarse de que los chicos malos, criminales o terroristas no obtiene esta información valiosa?

La respuesta es nadie.

¿Cómo comenzó este negocio?

Uno de los investigadores de seguridad que por primera vez vendió un fallo explotable fue Charlie Miller, un ex-empleado de la Agencia de Seguridad Nacional, que ahora trabaja para la firma de consultoría Accuvant Twitter desde septiembre de este año. En 2005, Miller encontró una vulnerabilidad en el sistema operativo Linux y la vendió al gobierno de EE.UU. por U$SS 80.000.

"Un funcionario del gobierno me dijo que no se le permitía decir un precio, pero que yo debía hacer una oferta", dijo Miller a SecurityFocus en 2007. "Y cuando lo hice, él dijo que estaba bien, y yo pensé, 'oh , podría haber pedido mucho más'".

¿Cómo es el mercado hoy?

Hoy en día, muchos fabricantes de software ofrecen recompensas por la busqueda de vulnerabilidades. En lo que va de este año, Google ha invertido más de 290.000 dólares para las vulnerabilidades en su navegador Chrome y recientemente aumentó el bono mínimo a U$S 1.000.

Un gran número de compañías comprar bugs y luego los venden de nuevo a los fabricantes de software a través de una suscripción. Los ejemplos incluyen iDefense y Zero Day Initiative, que pagan entre U$S 500 y U$S 20.000 para las vulnerabilidades.

Pero dinero real está en compañías como Endgame Systems, Netragard y Vupen Security. Estas se centran en el mercado más lucrativo de la venta de bugs a las agencias del gobierno que utilizan la información para hackear las computadoras y los teléfonos de los sospechosos de crímenes y en objetivos de inteligencia. Sin embargo, sus clientes también pueden incluir grandes corporaciones.

En febrero, VUPEN, que promueve sus servicios públicamente, encontró una serie de bugs en Google Chrome y ganó el Hackathon organizado por HP Tippingpoint. En el mismo evento, VUPEN desairó a Google, que pagó U$S 60.000 a los dos hackers ganadores, y no entregó los detalles de la falla a la empresa.

"No podríamos compartir esto con Google ni por un millón de dólares", dijo el director ejecutivo de VUPEN Chaouki Bekrar a Forbes. "Queremos mantener esto para nuestros clientes".

En el otro extremo se encuentran los llamados "bugs brokers" que negocian acuerdos con los cazadores de vulnerabilidades. Por ejemplo una persona con el seudónimo "El grugq" es un experto en seguridad que se vende al mejor postor, generalmente una agencia del gobierno de EE.UU. o Europa, y cobra una comisión del 15%, según una entrevista en marzo con Forbes.

Como es de esperar, los errores en el software más popular (Windows, Microsoft Office, iOS de Apple, navegadores web, etc) obtienen los precios más altos. Y con tanto dinero en juego, no es de extrañar que muchos de los hackers inteligentes y ambiciosos pasen horas interminables en busca de vulnerabilidades.

No hay leyes, pocas reglas

La venta de las vulnerabilidades del software es perfectamente legal. De hecho, la firma consultora Frost & Sullivan nombró en 2011 a VUPEN como Entrepreneurial Company of the Year.

El problema está en quien compra la información. La gente puede creer que esto está bien cuando lo hace una agencia de gobierno, pero ¿qué pasa con los hostiles? Los cibercriminales podrían utilizarlos en ataques de malware a gran escala en computadoras personales o en negocios.

Los críticos

Entre los críticos más acérrimos de la negociación vulnerabilidad está Christopher Soghoian, un técnico y analista político de la American Civil Liberties Union. En su presentación en la conferencia Virus Bulletin en septiembre, Soghoian argumentó la necesidad de alguna forma de supervisión de la industria.

"Si la industria quiere evitar la reglamentación, tiene que regularse por sí mismo", dijo Soghoian.

¿Es necesaria una regulación?

Una autorregulación parece poco probable. Pero un mercado regulado de exploit no tiene precedentes. Alemania, por ejemplo, tiene leyes estrictas que no sólo hacen que sea ilegal vender exploits, sino también para distribuirlos de forma gratuita.

Pero no hay consenso al respecto. Algunos expertos argumentan que la regulación de la industria es como tratar de regular las armas. Existen leyes en todo los países, pero los delincuentes aún tienen armas.

Otros argumentan que debería haber restricciones en las exportaciones, mientras que el mercado interno sigue abierta. El problema con esta estrategia es que podría estimular el almacenamiento de exploits, que también conlleva sus propios riesgos.

No hay respuestas fáciles, pero es el momento en que los legisladores deben comenzar a mirar esta industria antes de que un exploit vendido en el mercado abierto se utilice en un ataque contra el sistema financiero, robe secretos estatales o sea la fuente de ataques a infraestructuras críticas a gran escala.

Cristian de la Redacción de Segu-Info

3 comentarios:

  1. Es imposible controlar esto pero también es una mala noticia a nivel social, cada día entramos más en la era de la información y cada dia entramos más en ver como sabotearla, robarla, etc....muy triste.

    Un saludo.

    ResponderEliminar
  2. Charlie Miller no trabaja para Accuvant, trabaja para twitter.

    ResponderEliminar
  3. Anonimo, hace menos de un mes se cambio de trabajo :)
    Gracias, ya he actualizado.

    Cristian

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!