hacking

Zerodium offre 1,5 milioni per hackerare l’iPhone e rivendere il bug alla NSA

L’azienda americana dell’ex fondatore di Vupen è amata dai governi e odiata da hacker etici e attivisti per le libertà civili che gli rimproverano i legami con la NSA

Zerodium, la start up dell’hacking, offre un milione e mezzo di dollari per hackerare l’iPhone e rivendere l’exploit alla NSA. Fatto senza precedenti nella storia dell’hacking, Zerodium è un’azienda specializzata nell’impiego di hacker e bug-hunters per acquisire tecniche di intrusione informatica in grado di violare sistemi operativi, app, plugin, browser e servizi web.

1444818664834690

Creata nel 2015 da Chaouki Bekrar, è stata la prima azienda a cercare di trasformare in un’attività legale l’hacking dei dispositivi che usiamo ogni giorno, seguendo il suggerimento di un ricercatore indipendente della NSA nel lontano 2007. Ma è lo stesso motivo per cui l’esperto dell’American Civil LIberties Unione – ACLU, Christopher Soghoian, ha etichettato Bekrar come un “mercante di morte”.

Zerodium: come funziona e quanto paga

La compagnia, salita alle cronache per aver offerto un milione di dollari per l’exploit di iOS 9, adesso ha aumentato la tariffa del 50% e, poiché come dichiara nel suo sito rivende queste informazioni al mercato tecnologico ristretto di grandi aziende e governi NATO, ci si aspetta che una volta trovata la falla capace di eseguire da remoto le funzionalità di iOS 10, essa sarà presto nella disponibilità della National Security Agency americana.
L’offerta è sul mercato nonostante un ricercatore italiano, Luca Todesco, conosciuto come qwertyoruiop, ha già fornito la dimostrazione pubblica dell’exploit di iOS 10 in versione beta sul nuovo iPhone 7.

A proposito, Zerodium è anche la prima azienda di questo genere a fissare un tariffario preciso per ogni tipo di vulnerabilità da acquisire e definisce in maniera piuttosto rigida il processo di valutazione della “merce” che gli viene offerta prima di decidere di comprarla.

zerodium_prices

Zerodium: successi, critiche e gelosie

Creata da veterani del mondo della cybersecurity adesso è basata a Washington a due passi dagli uffici della sicurezza del paese più spione del mondo anche se afferma di fare questo lavoro per aziende della difesa, della tecnologia e della finanza in Usa ed Europa che cercano “protezione dagli zero-days”, le vulnerabilità non ancora note dei software e da altre minacce. Usando ricercatori indipendenti, qualcuno li chiama in maniera dispregiativa cacciatori di taglie, acquista e rivende informazioni per mettere in sicurezza i dispositivi con un approccio che privilegia, dicono, la qualità alla quantità. Sono molti gli exploit la cui diffusione gli è stata attribuita in questo primo anno di vita.

process

Un milione e mezzo per il jailbreak di iPhone 10

Per il jailbreak che consentirà a gestire da remoto e senza permesso l’iPhone 10 dell’azienda di Cupertino creata da Steve Jobs, offre 7 volte di più di quello che offre la stessa Apple (fino a $200,000) nel suo programma di ricerca dedicato solo a un limitato e selezionatissimo numero di esperti di cybersecurity.

E in effetti l’anno scorso Zerodium aveva pagato $1 million alla fine di un contest a premi per tre zero-days dello iOS 9 a un gruppo di hacker ancora sconosciuto mentre adesso per il nuovo jailbreak dell’ultimo sistema operativo della Apple è pronto a pagare questa cifra stratisferica a chiunque la metta in condizione di prendere il controllo del dispositivo.

Intanto ha raddoppiato il premio del bug bounty di Android 7.x (Nougat), che era di $200,000 e di Adobe Flash, Microsoft Internet Explorer, Edge, Windows Reader, Microsoft Word and Excel, Safari, OpenSSL e PHP.

La notizia è stata data dal CEO di Zerodium su twitter attirandosi però più di una critica dai ricercatori di cybersecurity che considerano il suo un approccio non etico alla sicurezza informatica.

Ti potrebbe interessare anche

3 lezioni che le aziende possono imparare dopo le intrusioni nei server dei democratici USA

Si vis pacem para bellum dicevano gli antichi. Vale anche nel campo della cybersecurity

“La sicurezza informatica è un investimento, e non un costo”. Intervista a Pierluigi Paganini

L’informazione è potere, la sua protezione è cruciale. Ecco perché è importante difendersi da criminali informatici, hacker governativi e cyber terroristi

Anche Telegram può essere spiato

Due attivisti russi, oppositori di Putin, denunciano l’azione congiunta dell’ex KGB e della compagnia MTS che avrebbero violato i loro account su Telegram. E il suo creatore, Pavel Durov, conferma.

DDoS, defacement e furti di dati: nuovi timori per le presidenziali americane

il capo dell’intelligence americana, James Clapper, lancia l’allarme sul pericolo di attacchi informatici nei confronti dei candidati alla presidenza americana “Servono a rubare i dati dei supporters”.

Il motore di ricerca della moda cresce e aggiunge altre città | Papèm

La startup, guidata da Alberto Lo Bue e Carlo Alberto Lipari, dopo aver ricevuto il premio Endeavor ai MYllennium awards, ha annunciato che l’espansione non si fermerà fino a quando Papèm non sarà presente in ogni angolo di tutte le città

#rESTATE in città coi bambini: 5 cose da fare a…Bologna

Dalla mostra interattiva Bologna Experience, al ciclo di eventi “Un’estate alla scoperta dell’Orto Botanico“.  Dall’appuntamento alla Serre dei Giardini Margherita allo spettacolo Sandokan al Teatro Testoni. Tutte le attività culturali e scientifiche per chi resta in città con i bambini

Megaride, l’arma segreta Ducati: un software per ottimizzare le performance dei pneumatici in pista

Megaride, la startup di Flavio Farroni che analizza la salute dei pneumatici, stringe una partnership con Ducati per ottimizzare le performance in pista. Questa l’arma segreta che ha regalato a Dovizioso la vittoria nella gara austriaca della MotoGP?

Prodotti tech certificati in base alla (cyber) sicurezza | La proposta di Andrus Ansip

Il vicepresidente della Commissione europea pensa ad una rete di uffici di cybersecurity diffusi in tutti gli Stati dell’Unione, incentrati sulla certificazione delle misure di sicurezza informatica attuate dai prodotti