Una startup que compra exploits cero days pagará 45.000$ a los hackers por explotar vulnerabilidades de escalamiento de privilegios locales de Linux contra sistemas operativos populares como Ubuntu, Debian y Fedora.
La compañía, Zerodium, es famosa por su programa de compra de exploits. Paga recompensas tan altas como 1.5 millones de dolares de recompensa si la investigación es completamente original y el objetivo es el correcto. El precio depende de la seguridad del objetivo y la demanda en el mercado.
El programa podría ser ampliamente conocido en la comunidad de ciberseguridad, pero los resultados son muy secretos: Zerodium, con sede en Washington, DC, vende sus exploits a clientes del gobierno que pagarán por la capacidad de romper prácticamente cualquier tipo de computadora. Los exploits de escalada de privilegios son particularmente valiosos porque permiten que un atacante obtenga acceso a partes de una computadora que de otro modo estarían restringidas.
La nueva recompensa de 45.000$ por escalada de privilegios locales en Linux es un aumento de 15.000$ por encima del precio habitual de Zerodium de 30.000$, lo que sugiere un aumento en la demanda. Es una oferta con fecha de vencimiento: los pagos aumentados durarán solo hasta el 31 de marzo.
Aquí está el anuncio a través de Twitter:
Got a Linux LPE? Working with default installations of Ubuntu, Debian, CentOS/RHEL/Fedora? We are increasing our payouts to $45,000 per #0day exploit until March 31st, 2018. To submit, please check: https://t.co/8NeubPvSdj
— Zerodium (@Zerodium) 8 de febrero de 2018
El año pasado, Zerodium ofreció una recompensa de 1 millón de dolares a cualquier pirata informático que encontrara errores y exploits contra el explorador Tor anónimo. Esa oferta duró tres meses y terminó en diciembre. El precio habitual para esos cero days es de hasta 100.000$. Algunos observadores vieron ese pago de siete cifras como un truco publicitario, pero Bekrar dijo en ese momento que la demanda entre los clientes del gobierno era alta. Él nunca comentó sobre el resultado del programa.
La recompensa más alta de Zerodium es de 1.5 millones de dolares por un jailbreak remoto de cero clics contra el iPhone. Ese alto precio, junto con comentarios de otros en la industria, muestran el alto nivel de dificultad que tienen los hackers contra el dispositivo estrella de Apple, que es notorio por su nivel cada vez más alto de seguridad en comparación con el resto de los dispositivos móviles del mundo. Zerodium también ofrece 500.000$ por cero days contra aplicaciones seguras de mensajería como Signal, WhatsApp, Telegram e iMessage.
“El precio que Zerodium le da a un producto es siempre una indicación de la seguridad de ese producto, cuanto mayor sea el precio, mejor es la seguridad de ese producto”, dijo Bekrar a CyberScoop el año pasado. “Los precios son el resultado de una gran demanda y una pequeña superficie de ataque en estas aplicaciones, lo que hace que el descubrimiento y la explotación de errores críticos sea un gran desafío para los investigadores de seguridad”.