Para los reyes quiero un exploit

Hoy sacaremos las cabalgatas, recogeremos caramelos y nos acostaremos tempranito para mañana levantarnos cuanto antes y divertirnos con los nuevos juguetes que nos traen los Reyes Magos. Este es un mundo feliz muy alejado del mundo de venta de vulnerabilidades y exploits, donde delincuentes y no tan delincuentes compran talento, inteligencia y en definitiva líneas de código para espiar, controlar y sabotear infraestructuras del enemigo, de aliados o incluso de personas influyentes o ciudadanos de a pie.

Si no tenemos el talento para descubrir vulnerabilidades y crear exploits siempre podemos pasarnos por los “mercados” para comprarlo. Podemos diferenciar tres mercados para la compra de vulnerabilidades:

• Mercado blanco: En este segmento se encuentran algunos fabricantes de software. Si eres investigador de seguridad y encuentras una vulnerabilidades 0day puedes vendérsela al fabricante. Aunque aún hay fabricantes que no están dispuestos a recompensar a investigadores que encuentren bugs en su software. Un ejemplo aproximado del precio por vulnerabilidad lo podemos encontrar a continuación:

• Mozilla Foundation $3,000 en el navegador Firefox y en el cliente de correo Thunderbird.
• Microsoft $11,000 en 2013 para el navegador Internet Explorer 11. Ahora ofrece $100,000, además otros $50,000 por una solución.
• Google $500–$20,000 para el navegador Chrome, Gmail y YouTube, aunque pagará $60,000 para algunos tipos de bugs encontrados en Chrome.
• Apple y Adobe aún no tienen programa de recompensas.

• Mercado gris: Se presupone que los compradores son chicos buenos, que actúan con el interés de la seguridad nacional y de sus ciudadanos. Los compradores suelen ser agencias del gobierno y empresas privadas. Los fallos de seguridad vendidos en este mercado no son públicos y por tanto el fabricante no puede desarrollar su parche. Se puede dar el caso que una agencia del gobierno compre una vulnerabilidad 0day de la cuál es vulnerable pero como es desconocida por el fabricante, el propio gobierno sigue estando expuesto al fallo de seguridad. Un ejemplo aproximado del precio por vulnerabilidad lo podemos encontrar a continuación:

• Adobe Reader: Entre $5,000 y $30,000.
• Mac OS: $50,000.
• Flash o Windows: $100,000 o más.
• Apple’s iOS: $100,000.
• Firefox, Internet Explorer, y Chrome: $60,000 o más de $200,000 .

• Mercado negro: En este segmento se encuentran los delincuentes y criminales con intereses espurio. No sólo te venden la vulnerabilidad 0day sino que también el payload, es decir, el exploit para aprovechar la vulnerabilidad. Al igual que en el mercado gris, las vulnerabilidades no son públicas y su precio está muy por encima de los dos anteriores mercados. El precio del exploit varía sustancialmente si se vende exclusivamente a un cliente o por el contrario se puede revender.

Aunque también existen intermediarios, como “The Grugq” que se lleva un 15% por cada transacción de venta de exploits, actualmente podemos encontrar empresas dedicadas a encontrar vulnerabilidades para venderlas en el mercado gris. Un ejemplo son las siguientes.

• EEUU: Endgame Systems, Harris, Raytheon, Northrop Grumman, SAIC, Booz Allen Hamilton, y Lockheed Martin.
• Malta: ReVuln especializada en crear exploits para sistemas de control industrial.
• Francia: VUPEN que vende a agencias de inteligencia y gobiernos.
• Italia: Hacking Team vende herramientas de vigilancia y utiliza 0days para instalar sus herramientas.
• Reino Unido: Gamma Group vende herramientas de vigilancia y utiliza 0days para instalar sus herramientas.
• España: ¿? Muchas empresas son secretas para evitar ser atacadas y descubiertas.

Por ejemplo, la compañía americana Endgame disponía de tres herramientas, Maui, Cayman y Corsica. Con un coste de 2.5 de millones de dolares al año la herramienta Maui ofrecía 25 exploits 0days, mientras que por 1.5 millones de dólares la herramienta Cayman proporcionaba información sobre millones de máquinas infectadas, la mayoría pertenecientes al gobierno ruso y a sus infraestructuras críticas.

Por otro lado, el paquete de protección de amenazas que ofrece Vupen incluye exploits para probar los 0days. Los subscriptores al portal de Vupen tienen una especie de tienda online para comprar exploits o solicitar exploits. Sin embargo, este tipo de programas sólo está disponible para la policía y para agencias de inteligencia pertenecientes a la OTAN, ANZUS, y ANSA.

Investigadores de estas empresas nos los podemos encontrar en conferencias como CanSecWest y Pwn2Own.

Si se venden armas y tanques al gobierno, ¿por qué no vender exploits? La venta de exploits es legal pero no está regulado, no llevan copyright. Mientras que cada vez hay más compañías de seguridad que su principal negocio es buscar vulnerabilidades y crear exploits, en 2013 se intentó regular la venta de ciberarmas y exploits 0days. El acuerdo, llamado Wassenaar, trata de evitar la venta de exploits a terroristas y criminales, pero no a gobiernos. 
 

Mientras tanto, el mercado gris sigue creciendo, por un 0day se puede llegar a pagar cantidades desorbitadas y esto parece que nada más que ha hecho empezar.

¿Qué le has pedido a los reyes magos?