No more free bugs

No more free bugs son las palabras de publicidad de Charlie Miller y Alex Sotirov  para la CanSecWest de 2009.

Durante el CanSecWest de esta año se volvío presentar el concurso Pwn2Own en el cual un grupo de investigadores de vulnerabilidades se inscriben y tratan de descubrir nuevo huecos de seguridad en diversos medios, como son Navegadores Web, o Smart Phones.

Charlie Miller logro vulnerar una Mac con todas la actualizaciones de seguridad, en tan solo 10 min, al aprovechar una vulnerabilidad en Safari en los componentes que se comunican con QuickTime y en una entrevista con Znet respecto a la publicación de vulnerabilidades de manera libre o gratis.

El ha mencionado en el pasado que el considera que el navegar Web mas vulnerable es  Safari. Durante su entrevista el menciona que nunca ha dado a conocer una vulnerabilidad de manera gratis, que incluso Mac paga a hackers por las vulnerabilidades descubiertas.

Y esto me hace reflexionar que cada vez son mas los investigadores que se dedican a encontrar este tipo de vulnerabilidades, en el pasado todo era mas por arte y gloria que por $$$, gente que escribía en al revista phrack, se lucia con vulnerabilidades importantes y ganaba prestigio.

De unos años para aca, tanto grupos mafiosos como gobiernos, han visto el impacto de nuevas vulnerabilidades, vulnerabilidades del tipo 0day han sido super aprovechadas para tomar ventaja en robo, espionaje etc.

Los mismos vendedores de seguridad y los fabricantes ven el impacto no solo en prestigio si no en $$$ en este tipo de actividad, por lo cual ellos mismos ya ofrecen fuertes cantidades de $$ por este tipo de vulnerabilidades.

Muchas personas creen que esto no es ético, pero es muy ambiguo y mas filosófico.

Actualmente donde laboro estamos preparando un team para hacer este tipo de investigación; he internamente tenemos este tipo de discusiones, si cada vulnerabilidad encontrada la vendemos o solo damos aviso al fabricante.

Yo si creo que este o el próximo año cada vez sea mas difícil tener acceso a este tipo de vulnerabilidades nuevas  a menos de manera directa, solo mediante servicios de pago o en el underground. Incluso hay pagina Web donde se comprar exploit para vulnerabilidades 0day.

Es un tema interesante, pero complicado diría yo, por que pareciera mas un tema filosofico e incluso religioso mas que de negocio.

Solo me resta decir a ver que nos depara el destino o como aquella vieja pelicula cuando el destino nos alcance.

PD.  Explicación de Dino A. Dai Zovi

Leave a Reply