lunes, 26 de marzo de 2012

El gobierno de Estados Unidos pagó 250.000 dólares por un exploit en iOS


No es nada nuevo hablar del mercado existente en torno a la búsqueda de tipos de vulnerabilidad en software o sistemas operativos. Existe todo un mercado en la compra y venta de exploits con el que los hackers pueden llegar a obtener grandes cifras de dinero. Sin ir más lejos hace unas semanas se celebró la Pwn2Own donde Chrome fue después de varios años el primer navegador en encontrársele vulnerabilidad. Este negocio que tiene a hackers y compañías como principales beneficiarios tiene desde hace varios meses a un nuevo “cliente”. El propio gobierno de Estados Unidos, quien a través de una filtración se sabe que llegó a pagar 250.000 dólares por un exploit en iOS.

Tradicionalmente los hackers suelen informar al desarrollador original de un software acerca de la vulnerabilidad encontrada, bien directamente o a través de pruebas realizadas en conferencias de seguridad o competiciones como la Pwn2Own donde hay recompensa por el logro.

Un mercado que como decía al comienzo tiene a los hackers y compañías como beneficiarias. Los hacker por dinero o reconocimiento, las compañías para mejorar el programa en cuestión. Dentro de estas actividades, los gobiernos han aumentado su presencia en el mercado en los últimos meses, autoridades que se presentan como el negocio más lucrativo, tanto, que desde hace unas horas se sabe que un contratista del gobierno de Estados Unidos llegó a pagar 250.000 dólares para un exploit en iOS.

Y es que al parecer y según cuentan desde Zdnet, los hackers están vendiendo la vulnerabilidad encontrada a las agencias gubernamentales a través de intermediarios que cobran por comisión a través de la oferta. Las organizaciones no informan al público sobre el importe que pagan ni lo conseguido ya que la vulnerabilidad se puede utilizar para acceder a otros equipos.

La tabla de precios que mostramos es un ejemplo de ello. De acuerdo a los intermediarios consultados, la vulnerabilidad en materia de seguridad en el sistema operativo móvil de Apple es más rara que se dé debido a sus fuertes medidas, por ejemplo en a las de Android.

Como podemos ver en la tabla, seguido de iOS se encontraría Chrome o IE, Fiefox o Safari, Microsoft Word, Flash o Java, Android, Mac OSX y Adobe Reader.

Finalmente se habla de los métodos de pago. El precio sube si el “hack” es exclusivo, trabaja en la versión más reciente o si es desconocido para el desarrollador. También aumenta el precio si el exploit encontrado es de un software popular. En cuanto a los métodos de pago, se suele hacer en cuotas que siguen llegando siempre y cuando el hack no se haya parcheado por el desarrollador original del software.





No hay comentarios:

Publicar un comentario