¿Eres hacker? Las vulnerabilidades de iOS y Android se cotizan a millones de dólares

Resultados 1 al 2 de 2
  1. #1
    Avatar de joselemos Nivel 38: Concertista
    Fecha de ingreso
    31 oct, 13
    Ubicación
    Villalonga, Buenos Aires, Argentina
    Mensajes
    2,342
    Mencionado
    430 Post(s)
    Tagged
    0 Thread(s)
    Thumbs Up
    Recibidos: 897
    Dados: 3,030
    vBActivity - Stats
    Points
    182
    Level
    5
    vBActivity - Bars
    Lv. Percent
    0.98%
    Actividad Diaria
    0%
    Actividad Semanal
    0%
    Actividad Mensual
    0%

    ¿Eres hacker? Las vulnerabilidades de iOS y Android se cotizan a millones de dólares

    ¿Eres hacker? Las vulnerabilidades de iOS y Android se cotizan a millones de dólares





    En el mercado de los móviles hay muchos más precios a tener en cuenta que el de los terminales en los escaparates (físicos o virtuales). En ocasiones recurrimos al precio por acción de las compañías, indicativo en cierto modo de cómo van las cosas para la misma, pero hay una cotización que también varía cada año: ¿a cuánto se paga la información sobre las brechas de seguridad de los sistemas operativos?
    Los software cada vez son más completos y cuidan más la seguridad, pero aún así y como hemos visto siempre queda algún agujero por el que algún ávido hacker puede colarse y acceder al sistema. De hecho, muchas veces son expertos ajenos a los desarrolladores del sistema los que localizan los fallos y lo hacen saber, como ocurre con Security Default y WhatsApp. ¿Quién paga por esto? Empresas como Zerodium, y no paga poco.

    Mayor nivel de seguridad, mayor recompensa

    Por desgracia las noticias de que hay cierto "agujero" en la seguridad de los sistemas operativos son actualidad con relativa frecuencia, aunque por suerte normalmente los desarrolladores lanzan actualizaciones de manera pronta tras la detección (de algo que no debería haber salido en la versión definitiva del sistema, por cierto). De este modo, cada versión del sistema es habitualmente más segura que la anterior, de ahí que se recomiende tener el teléfono al día y el hecho de que sea uno de los inconvenientes de la famosa fragmentación en Android.

    Como en las recompensas de las series o películas para criminales, aquí la dificultad es la base del precio: si es difícil encontrar la vulnerabilidad, éste se multiplica


    Esto también influye en la cotización de las vulnerabilidades del sistema o, como suelen llamarse, exploits, concretamente los exploits zero-day. Como en las recompensas de las series o películas para criminales, aquí la dificultad es la base del precio: si es difícil encontrarlas, se multiplica. De hecho eso leemos en la web de Zerodium, que ayer actualizó la oferta, exactamente por el doble y triple que la anterior (en Android y iOS respectivamente).




    Concretamente ofrecen 1,5 millones de dólares por vulnerabilidades comprobadas en iOS y 200.000 dólares en el caso de Android. También hay tarifas para exploits en Adobe Flash Player, que en este caso se han rebajado de 80 a 50.000 dólares. Chaouki Berkar, fundador de Zerodium, explicaba de qué dependía la variación de precio, y lo recoge Ars Technica.

    Los precios están directamente relacionados con la dificultad que implica crear una cadena de vulnerabilidades, y sabemos que esto es mucho más difícil en iOS 10 y Android 7 que en sus versiones previas.
    También explicaba por qué esa diferencia de pago según una plataforma u otra. Cuenta Berkar que el hecho de que una cadena de vilnerabilidades cotice en orden de unas 7,5 veces más que una de Android se debe a que la dificultad es 7,5 veces mayor en iOS o que lo es la demanda, siendo una mezcla de ambas valoraciones.
    Pero, ¿qué perfil de cliente tiene una empresa así?

    Hace unos meses supimos de un negocio que no era exactamente igual, pero que también se trataba de un intercambio de información sensible y que podría ser incluso un arma en malas manos. Shadow Brothers dijo tener la información de la NSA, la cual puso en subasta por un millón de bitcoins, aunque ya vimos que las pujas no mostraban tal interés.

    Los clientes de Zerodium son los gobiernos y sus agencias


    En este caso se trata de una información que per se es un arma, y bien podría interesar a los hackers dado que se trata de accesos a los entresijos del sistema, pero en el caso de Zerodium éstos su cliente, al menos de los bien intencionados. El perfil de compradores es todo lo contrario, es decir, los gobiernos y sus agencias, quienes usan esta información para vigilar y espiar a los criminales y terroristas que operan por estas vías.



    El negocio lo hacen en parte también porque ofrecen mejores precios que las propias compañías propietarias del software. Apple ofrece 250.000 dólares y Google 38.000, cifras que como vemos están bastante por debajo de lo que ofrecen en Zerodium, si bien el nivel de exigencia de estos exploits también varía, siendo mayor en el caso de la empresa de compraventa.

    De hecho, es algo que en la Deep Web es bastante más habitual que en la red abierta, y en ésta tampoco es Zerodium la única empresa que se dedica a la compraventa de vulnerabilidades ni mucho menos. Hay otras como Mitnick's Absolute Zero-Day o Exodus intelligence que también ofrecen servicios relacionados en abierto.

    Y como leemos para el caso de Zerodium, el año pasado dió hasta 3 millones de dólares por hacerse con la información sobre las vulnerabilidades. No dan cifras sobre su recaudación, pero no debió ser poca cuando este año ofrecen hasta tres veces lo que el anterior. A la rica vulnerabilidad, pues.

    FUENTE

    0 Not allowed!

  2. #2
    Avatar de mrfaquil NIVEL 53: La Brujita
    Fecha de ingreso
    05 nov, 15
    Ubicación
    Quilmes
    Mensajes
    3,104
    Mencionado
    493 Post(s)
    Tagged
    0 Thread(s)
    Thumbs Up
    Recibidos: 1,260
    Dados: 107
    vBActivity - Stats
    Points
    115
    Level
    3
    vBActivity - Bars
    Lv. Percent
    86.75%
    Actividad Diaria
    0%
    Actividad Semanal
    0.81%
    Actividad Mensual
    0.88%
    Es un tanto relativo, ¿será difícil que te contraten?

    Atención al Cliente:
    Twitter: https://www.twitter.com/movistararg
    Facebook: https://www.facebook.com/comunidadmovistarargentina
    Desde un teléfono fijo: 0800-321-0611
    Desde tu celular: *611



    Si te ayudé en algún problema dame un like, estaría muy agradecido.
    Un saludo de mrfaquil, ¡hasta la próxima!

    1 Not allowed!

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •