Blog

Cómo se compran y venden los exploits de día cero

La mayoría de ustedes ya saben que un exploit de día cero es un exploit que aún no ha sido revelado al proveedor de software o al público. Como resultado, la vulnerabilidad que habilita el exploit no ha sido parcheada. Esto significa que alguien con un exploit de día cero puede piratear cualquier sistema que tenga esa configuración o software en particular, dándoles libertad para robar información, identidades, información de tarjetas de crédito y espiar a las víctimas.

Desarrollar un día cero es el “Santo Grial” para los piratas informáticos de élite, ya que puede traer una notoriedad significativa, recompensas y tal vez incluso una gran riqueza. Esas son solo algunas de las razones por las que he comenzado una nueva serie sobre el desarrollo de sus propias hazañas. Con suerte, al menos uno de mis hackers tiernos podrá llevar lo que se aprendió aquí en Null Byte a la riqueza y la infamia.

Desarrolladores de software

Los investigadores de seguridad pueden desarrollar los días cero y venderlos a los desarrolladores de software. Muchas de estas empresas tienen programas para recompensar a los investigadores por encontrar fallas en sus productos. Probablemente el más generoso sea Google, que premió $ 150 000 para un pirateo exitoso de su sistema operativo Chrome en Pwnium. Las recompensas normales que no son de competencia alcanzan un máximo de $ 15,000 a $ 20,000. Puedes ver quién ha ganado recompensas. aquí.

Imagen vía El arte de Tyler Jordan

Para obtener más información sobre las recompensas de día cero y sus recompensas, consulte mi guía anterior.

Mercados Negros

Hay varios mercados negros donde puedes comprar o vender exploits de día cero. Algunos de los más activos se encuentran en Rusia. La selfie de abajo es de Andrey Hodirevski, el hombre que se cree que dirige uno de los mercados negros más exitosos de Rusia durante los días cero y otras hazañas.

Andrey Hodirevski, también conocido como Helkern. Imagen vía Brian Krebs

Desafortunadamente, a menos que pueda hablar ruso con fluidez, sus posibilidades de completar una transacción allí son muy bajas. Para mantener la seguridad de estos mercados negros, los proveedores no harán negocios en inglés ni en ningún otro idioma que no sea el ruso.

Hablar y escribir ese idioma es el primer obstáculo que debe superar para ganarse su confianza. Habrá más obstáculos, pero a menos que sea un hablante nativo de ruso, no llegará muy lejos. (Créame, lo he intentado; por una buena razón, son muy cautelosos).

Si realmente puede ingresar a estos mercados, los exploits de día cero se venden a precios muy razonables. Según se informa, el exploit utilizado contra Target el año pasado se vendió por solo $ 1,200.

Gobiernos nacionales

Para aquellos de ustedes con habilidades avanzadas, o que aspiren a habilidades avanzadas, existe un mercado altamente desarrollado y costoso para vender exploits de día cero a las fuerzas armadas nacionales y agencias de espionaje. Por supuesto, los usan para la guerra cibernética y el espionaje entre ellos y, a veces, incluso contra sus propios ciudadanos.

Una de esas firmas Vupen de Francia, desarrolla y vende exploits de día cero por millones de dólares cada uno. Recientemente se reveló que Vupen tiene un contrato con la Agencia de Seguridad Nacional de los Estados Unidos (NSA) para venderles exploits de día cero. Según se informa, ni siquiera puede ver su catálogo por menos de una tarifa de entrada de $ 3 millones. Ese es un buen negocio al que aspirar.

Vupen utiliza Google Chrome en CanSecWest. Imagen de Jerome Segura /Gorjeo

A medida que la seguridad cibernética y las amenazas cibernéticas se vuelven cada vez más importantes, las habilidades de los piratas informáticos se vuelven cada vez más valiosas. Ahora existen numerosos mercados, incluidos los propios desarrolladores de software, donde puede vender sus exploits.

Cuando haya desarrollado sus habilidades a nivel profesional, existe el potencial de vender sus exploits por literalmente millones de dólares. ¡Así que sigan regresando, mis tiernos hackers, y sigan mi nueva serie sobre desarrollo de exploits!

Imagen de portada a través de Shutterstock

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar