Lista de precios de 0-days ... ¡para gobiernos!

Desde hace tiempo se sabe que existe un enorme mercado para la compra y venta de exploits de tipo 0-day que afectan al software y a los sistemas operativos más populares. Normalmente existen diversas opciones para informar acerca de las nuevas vulnerabilidades encontradas:
- Trabajar como investigador de seguridad en una compañía buscando bugs en sus aplicaciones.
- Informar al desarrollador del software original acerca de la vulnerabilidad, a veces mediante programas de recompensas o bug bounty programs o (raramente) a través de las fuerzas de seguridad del estado.
- Participar en competiciones organizadas por fabricantes de software u otras entidades intermediarias (recordemos que empresas como Adobe o Microsoft no están a favor de los programas de recompensas).


- Presentar las vulnerabilidades en blogs, foros o conferencias de seguridad, buscando sólo notoriedad.
- Vender el exploit en el mercado negro, multiplicando por 15 o 20 la compensación económica pero también el riesgo que supone.
- Vender el exploit a una agencia gubernamental a través de intermediarios pseudo-anónimos que cobran una comisión.

Esta última opción es mucho más segura que cualquier acuerdo con la mafia u otras organizaciones "oscuras" y reporta también bastantes dividendos: recientemente un contratista del gobierno de los EE.UU. pagó $ 250.000 a Comex por el Jailbreakme 3 para iOS.

Forbes ha elaborado la siguiente tabla con una lista de precios que podrían llegar a pagar estas agencias:

El precio sube si la vulnerabilidad es exclusiva, funciona en la versión más reciente de la aplicación y, por supuesto, es desconocido por el desarrollador de ese software en particular. Además, el pago es mayor contra más popular es el software y, a veces, el dinero se paga en cuotas, que siguen llegando siempre y cuando el bug no sea parcheado por el desarrollador del software original.

Para más detalle os aconsejamos echar un vistazo a la entrada original de Forbes.

1 comentarios :