El negocio real de la venta de exploits (y el humo a su alrededor)
La venta de vulnerabilidades desconocidas se ha convertido en un negocio lucrativo en los últimos años pero no todo es necesariamente real. Hoy Motherboard publicó que un contratista Indio vendía una serie de vulnerabilidades y exploits 0-Day como parte de un amplio catálogo de productos y servicios ofrecidos a los gobiernos de todo el mundo. Aglaya, un pequeño y poco conocido contratista de la India, tenía a la venta exploits para Windows, Microsoft Word, Android, WiFi y redes SCADA.
Según un folleto filtrado y con fecha de 2014, la compañía anunciaba vulnerabilidades para Windows XP, 7, 8, 2000, 2012 y «Windows 9» (sic) por U$S 1,5 millones. Además ofrecía un fallo de Ejecución Remota de Código (RCE) que daría la posibilidad de controlar un teléfono móvil Android por U$S 500.000; exploits para ingresar a redes WiFi por un precio de U$S 1,5 millones y; exploits para redes Siemens por U$S 2 millones.
En una de las página del folleto filtrado, donde se detallan todos los servicios ofrecidos Aglaya, es curioso notar que los supuestos exploits eran comprobados en VirusTotal, el cual es conocido por informar a los fabricantes cualquier programa o aplicación no detectada. Entonces, ¿existían realmente esas vulnerabilidades?
Hace poco, Zerodium causó sensación cuando desafió a los investigadores a desarrollar una cadena de exploits que permita hacer jailbreak a un iPhone de forma remota, prometiendo una recompensa de un millón de dólares. Según Zerodium, unas semanas más tarde, desarrolladores desconocidos cobraron el premio.
A principios de este mes, Motherboard reveló que Aglaya en realidad era un forma encubierta de publicitar productos de terceros, mucho más oscuros. En respuesta a esa historia, directivos de Aglaya dijeron que «la compañía ya no tiene esos negocios y todo fue una especie de malentendido».
Ryan Duff, un investigador de seguridad y ex-miembro del Comando Cibernético de Estados Unidos, dudó de la credibilidad de la empresa por el hecho de que afirman tener 0-Days pero los suben a VirusTotal, un repositorio público donde los investigadores pueden probar malware. Eso, anularía la utilidad de exploits.
Hace una semanas, Apple lanzó su propio programa de recompensas de errores y la compañía Exodus respondió con su propio programa para adquirir exploits de iOS y promete pagos que duplican los de Apple.
Por su parte, Google acaba de anunciar un nuevo premio de U$S 200.000 para recompensar la denuncia de fallos de alta seguridad. El objetivo de este concurso es encontrar una cadena de vulnerabilidades o errores con el cual se pueda lograr la ejecución de código remoto en múltiples dispositivos Android, con sólo conocer el número de teléfono y/o la dirección de correo electrónico
Fuente: http://blog.segu-info.com.ar/
Fecha de consulta: 22 septiembre 2016