Le debía este post a Dancho. Para quienes no le conozcáis, es un consultor independiente de seguridad, editor de Astalavista, y cuenta con experiencia importante en este campo.
Hace ya unos días me comentó que había estado investigando más sobre el mercado de las vulnerabilidades 0day, sobre el cual ya habíamos hablado en el blog con anterioridad, también a raíz de un artículo suyo. Para quien no haya seguido el tema, las vulnerabilidades 0day son aquellas que se ponen en conocimiento de la comunidad sin que el fabricante esté avisado. Se trata de full disclosures aprovechados para emitir exploits en la ventana de tiempo en la que el fabricante resuelve el problema. Es frecuente que estos problemas sean de criticidad alta.
Recientemente, Dancho publicó un interesante estudio personal llamado Where´s my 0day, please? en el que no contento con analizar rigurusamente el mercado de vulnerabilidades 0day, decidió irse de compras a la The International Exploits Shop, siito que no está ya en activo para suerte de la comunidad.
Aunque suene cómico, efectivamente, las vulnerabilidades 0day se comercializan como se comercializa cualquier cosa en la red: montas un blog, te publicitas estratégicamente (llegado el caso empleando marketing viral, tan en boga en la web 2.0) y a cobrar por las ventas. 4000 dólares pagó más de uno por la vulnerabilidad 0day de los ficheros de metadatos WMF de Windows.
Dancho tomó una captura de la tienda donde se presentaba «la empresa» y otras capturas en las que se habla de los «productos». No faltan detalles: porcentajes esperados de infección, garantías antidetección por los antivirus y evidentemente, precios.
Así pues, encargar un 0day para WMF (con derechos de autor, es decir, comprándolo el autor se comprometía presuntamente a no distribuírlo a terceros) costaba 5000 módicos dólares americanos. Por una cantidad menor, 500$, era posible comprar una vulnerabilidad para Internet Explorer, efectiva en sistemas XP SP2 parcheados salvo el parche que corrige el problema. Este exploit, según aseguraba «la empresa», tenía una tasa de éxito de hasta el 25%, y para gozo del comprador, el exploit venía con una fácil configuración, shell-code universal y posibilidad de generar estadísticas.
Y como todo buen negocio, descuentos por volumen. Comprando el Exploit Multipack, te ahorras un buen dinero y las tienes todas juntas. Un inyector para Internet Explorer y 18 vulnerabilidades eran los contenidos del pack de esta gentuza.
Así está el mercado de las vulnerabilidades. No os engaño cuando reitero constantemente que esto está movido por crimen organizado y motivos económicos. Y esta es sólo una pequeña muestra.
El resto del artículo de Dancho es muy interesante. Son reflexiones personales breves sobre quién mueve esto, cual es el perfil de los compradores y los posibles intermediarios. Os recomiendo su lectura.
no es feo
ay c mamo lmaooooo
Ay no mames wey!!
Seguridad es mis huevos hermano
Esta web es puta basura