immagine-preview

Lug 4, 2018

Broker pronti a pagare oro per un exploit zero-day su Linux. Come funziona il mercato

Cerchiamo di comprendere quali sono i pezzi pregiati di questo singolare mercato e quali i suoi trend partendo alla offerta di una delle principali aziende specializzate nella compravendita di zero-day exploit, Zerodium

La vendita di Zero-day exploit è un business fiorente in cui pochi attori riescono a fare grandi margini. Una falla zero-day è una qualsiasi vulnerabilità di sicurezza non pubblicamente nota nel momento dell’attacco ed il codice in grado di sfruttarla è detto “exploit”.

Il mercato dello zero-day exploit

Cerchiamo insieme di comprendere quali sono i pezzi pregiati di questo singolare mercato e quali i suoi trend partendo alla offerta di una delle principali aziende specializzate nella compravendita di zero-day exploit, Zerodium.

Visitando il sito di Zerodium ci si rende subito conto di come operi l’azienda che acquista specifici zero-day exploit per i suoi clienti, tipicamente agenzie governative e forze dell’ordine.

 

” ZERODIUM offre premi di alta qualità ai ricercatori di sicurezza per acquisire la loro conoscenza di zero-day exploit per i principali sistemi operativi, software e dispositivi”, si legge sul sito Web della società . “Mentre la maggior parte dei programmi di bug bounty esistenti accetta quasi ogni tipo di vulnerabilità e PoC ma paga ricompense molto basse, noi in ZERODIUM ci concentriamo sulle vulnerabilità ad alto rischio con exploit completamente funzionali , e paghiamo i più alti premi sul mercato”.

 

Le aziende che operano nel mercato degli zero-day sono spesso oggetto di accese critiche da parte degli esperti di sicurezza e gruppi per i diritti degli individui, perché accusati di vendere i codici alle aziende che sviluppano software di sorveglianza poi rivenduti a regimi autoritari.

La società offre premi fino a $500.000 per zero-day exploit in sistemi operativi basati su UNIX, tra cui OpenBSD, FreeBSD, e NetBSD. Premi simili sono previsti  per exploit sviluppati per le principali distribuzioni Linux come Ubuntu, CentOS, Debian e Tails.

Da che cosa dipendono i prezzi di uno zero-day exploit

I prezzi per le falle zero-day dipendono da molteplici fattori, tra cui le quote di mercato delle piattaforme/sistemi interessati (gli exploit zero-day per i sistemi operativi Windows sono in genere più preziosi di quelli Linux perché più diffusi) ed il livello di interazione dell’utente richiesto per lo sfruttamento della falla (e.g. all’utente è richiesto uno clic, due clic, un’azione come il download di un file, ecc.).

Altri fattori che influenzano il prezzo di uno zero-day exploit sono l’affidabilità del codice, il numero di vulnerabilità che gli hacker devono collegare per sfruttare il difetto, la percentuale di successo e la configurazione del sistema operativo che è necessario per lo sfruttamento (e.g. un exploit che funziona in qualunque configurazione è sicuramente più prezioso).

Dando un’occhiata alle tendenze per i prezzi possiamo notare come questi siano in ascesa, in particolare il prezzo degli zero-day exploit per sistemi Linux.

La società ha reso pubblica l’ultima campagna di acquisizione di zero-day exploit come di consueto, una campagna che include offerte speciali, solitamente associate a commissioni più elevate, per specifici exploit zero-day.

In questo momento gli esperti di Zerodium sono ancora alla ricerca di exploit per l’esecuzione di codice remoto o per l’escalation dei privilegi locali su sistemi Linux e sistemi BSD, con premi che variano e che possono arrivare fino a $ 500.000.

I compensi per gli exploit zero-day

I compensi per gli exploit zero-day per una privilege escalation su sistemi Linux variano da $ 10.000 a $ 30.000, in alcuni casi si può arrivare a pagare fino a $ 100.000 per codici di qualità elevata.

Le ricompense per exploit per l’esecuzione di codice remoto Linux possono variare da $ 50.000 a $ 500.000, zero giorni, i codici in grado di attaccare CentOS e Ubuntu sono i più ricercati.

Negli scorsi mesi Zerodium ha condotto numerose campagne per l’acquisizione di zero-day exploit specifici per alcune categorie di sistemi quali iOS,  Adobe Flash PlayerTor Browsermobile IM apps, ed Android.

L’azienda in passato è passata alle cronache per aver offerto fino a $ 1,5 milioni per uno zero-day exploit per iOS.

Guardando il listino prezzi per gli zero-day exploit possiamo notare che i costi dei codici per gli ambienti server, Linux soprattutto, possono essere estremamente elevati, anche se gli exploit per i dispositivi mobili restano quelli più costosi nel mercato zero-day.

Contrariamente a quanto si possa pensare, il mercato della compravendita di zero-day exploit è molto attivo e nuovi player cercano di entrarne a far parte.

Questo è il caso, ad esempio, dell’azienda Crowdfense che ha lanciato di recente un programma di acquisizione zero-day exploit con un ammontare premi per circa $ 10 milioni.

Non c’è dubbio, il mercato è in ampliamento ma l’elevato livello di specializzazione che lo caratterizza funge da barriera di ingresso consentendo solo ad aziende con forti e specialistiche competenze di farne parte.

 

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter