Interesante enlace y no menos interesantes las argumentaciones que expone Dancho Danchev en su última entrada en su blog.
Was the WMF vulnerability purchased for $4000?! es un artículo donde se habla de la existencia de un mercado donde existen vendedores y compradores de vulnerabilidades del tipo 0day. Este tipo de investigación ya la había realizado previamente, con un buen análisis sobre la posibilidad real de que exista un mercado de compraventa de información relativo a vulnerabilidades.
¿Fue comprada la vulnerabilidad WMF por 4000 dólares americanos? Entiéndase por comprada el que, de un modo previo a la explotación masiva o en sus albores, cuando no había datos, alguien adquiriese el conocimiento de la misma y las vías de explotación a cambio de esa cantidad de dinero.
Aparentemente, según declaraciones de Kaspersky Lab, es probable que este exploit fuera ofrecido por 4000 dólares americanos y que fuera adquirido por numerosos sitios especializados, a mediados de diciembre. Kaspersky comenta en la nota que uno de los compradores de la vulnerabilidad estuvo y de hecho está envuelto en la creación de spyware criminal para ser explotado comercialmente, y que esa es la causa real por la que el problema se hizo público.
Las declaraciones de Kaspersky, sin duda, son de estas que te dejan un mal sabor de boca, no por que no crea lo que dicen, que los creo, sino porque esta es una manifestación clara de que el malware es un negocio y con expectativas muy serias de consolidación (aún más de la que tiene). El bug fué creado para el mercado ruso, para ser explotado por bandas de crimen organizado, con el único ánimo de generar ingresos por la venta del mismo. Terrorífico.
The data we have, plus the Russian involvement, make it clear that information about the vulnerability was not passed to companies such as eEye or iDefence, which specialize in identifying vulnerabilities. Firstly, the hacker groups didn’t understand exactly how the vulnerability functions, and secondly, the exploit was created in order to be sold on to cyber criminals. Thirdly, research bodies did not have information about the fact that the exploit was being sold, due to the fact that it was created for the Russian market.
Danchev apunta en su artículo algunas razones para pensar que el mercado de las vulnerabilidades está en auge, y que detrás de este auge existen razones económicas de mucho peso. Sin duda, el peor escenario es aquel representado por la creación de exploits bajo demanda, un mercado que es totalmente factible, y que visto lo visto con el caso de la vulnerabilidad WMF, es totalmente real.
Un artículo bastante ácido (hay tiritos para quienes cobran un montón de dinero por un informe de 10 páginas que no dice nada, los hay para quienes sospechan que todos los investigadores TI nos movemos por asuntos económicos, no tiene desperdicio) el cual os recomiendo.
También hay proyectos de empresas «legales», como puede ser el «MD:Pro™ – Malware Distribution Projec» de la gente de frame4.net, en los que se pone a disposición del que tenga suficiente dinero, el código fuente de un montón de variantes de malware.
Reflexionando sobre el planteamiento de estas empresas, podemos poner en un lado de la balanza el derecho al acceso libre a la información y, en el otro lado, el posible uso fraudulento de esta información.
Mi conclusión no es clara, por un lado defiendo sin condiciones el acceso libre a la información, pero el proteger este dinero poniendole un precio más o menos alto no me parece adecuado. Es publico que quien hay detras de toda la in-seguridad son autenticas mafias con un poder económico importante.
Tico,
I got your point, still I am not affiliated with this project as I believe it’s in direct contradiction with most of the points I mentioned in my research on future trends of malware..
Concerning the market for 0day vulnerabilities, I feel the way legitimate companies are fueling its growth backed my money incentives, that very same way they’ll have to compete with the «underground» market for that type of research.
Regards,
Dancho
Tico,
Efectivamente, la venta de código malware es legítima, y prueba de ello es el proyecto que citas. Otro tema es ver quien abona los (creo) 1000 euros mensuales que cuesta la suscripción habiendo proyectos tan interesantes como Nephentes y Mwcollect, o Sebek.
Yo sin embargo, pese a que venden muestras de material orientado a lo ilegítimo, de origen ilegítimo o al menos, con dudosa finalidad, no dejan de ser muestras que circulan libremente por la red, en ningún caso son muestras generadas por ellos. Simplemente las capturan, las empaquetan y les ponen precio. Quizás ese sea el matiz diferenciador. De todos modos, me uno a tu comentario, ya que es un tema que para nada está claro. Son temas donde se mezcla, además de lo legal, lo ético. Arenas movedizas :)
Un saludo