Inicio / Blog / Mercado legal de vulnerabilidades 0day

Mercado legal de vulnerabilidades 0day

Publicado el 04/04/2013, por INCIBE
CanSecWest

Hace pocas semanas se hicieron públicos los resultados del concurso Pwn2Own, coincidiendo con las conferencias de seguridad CanSecWest 2013 que se celebran en Vancouver, y destinado a investigadores sobre nuevas vulnerabilidades de seguridad. El concurso estaba organizado por Zero Day Initiative, una iniciativa llevada a cabo por la empresa de seguridad TippingPoint, filial del gigante HP.

La actividad habitual llevada a cabo por Zero Day Initiative se centra en la adquisición de vulnerabilidades 0day a investigadores  en múltiples productos de software, ofreciéndoles una gratificación en función de la gravedad de la vulnerabilidad y del producto que se trate. El objetivo que se persigue por parte de la iniciativa es incorporar los datos de estas vulnerabilidades 0day a los productos de seguridad perimetral de TippingPoint, ofreciendo un nivel de seguridad extra a sus clientes.

En la edición 2013 del concurso Pwn2Own se proponía como reto a los investigadores encontrar vulnerabilidades 0day en los principales navegadores y los complementos más utilizados, repartiéndose un total de más de medio millón de dólares en premios:

Premios Pwn2Own

El resultado del concurso, fue que se encontraron nuevas vulnerabilidades en todos los productos salvo en el navegador Safari para OS X Mountain Lion. Destacaron como ganadores del concurso, al igual que en ediciones anteriores, los miembros de la empresa VUPEN que ingresó un total de 250.000 dólares.

Resultados Pwn2Own

La principal línea de actividad de la empresa VUPEN se centra en actuar como proveedor de información tanto defensiva como ofensiva en inteligencia en ciberseguridad y investigación avanzada sobre vulnerabilidades. Es por tanto para ellos una actividad muy significativa el encontrar y proveer a sus clientes de nuevas vulnerabilidades 0day, enfocando su mercado claramente hacia grandes empresas de sectores financieros y tecnológicos, o servicios de inteligencia de gobiernos, y fuerzas y cuerpos de seguridad de los estados. Es lo que se conoce como LEAs (Law Enforcement and Intelligence agencies), un sector cada vez más en auge gracias a la creciente demanda en el mercado de seguridad ofensiva y a empresas como la propia VUPEN, Hacking Team, Square Security o GLEG. Sobre esto ya se incluyo un punto en la guía de Software Exploitation que publicamos en 2012 y donde se explica cómo los exploits también son un negocio

Aunque el concurso de seguridad Pwn2Own está claramente enfocado a investigadores en un nicho de mercado muy especializado, las grandes empresas de software prestan mucha atención al mismo, bien por cuestiones de marketing o bien por una actitud responsable ante la seguridad de sus usuarios. Empresas como Google o Mozilla Fundation corregían las vulnerabilidades de sus productos tan solo un día después de hacerse públicas. Incluso para ediciones anteriores algunas empresas objetivo del concurso, realizaban correcciones pendientes justo antes del concurso como estrategia para salir mejor paradas.

Pero el mercado legal de compraventa de vulnerabilidades 0day en productos no sólo está centrado en fabricantes de elementos de seguridad que buscan ofrecer un valor añadido a sus clientes o empresas dedicadas a la seguridad ofensiva. Existen más modelos de negocio como son los programas de recompensas, donde se siguen otras estrategias para que los investigadores de seguridad puedan obtener beneficios por sus descubrimientos dentro de un mercado legal.

Estos programas de recompensas o bug bounty programs, son concursos ad-hoc o programas estables que diferentes compañías realizan para premiar a investigadores que reportan vulnerabilidades 0day sobre sus productos.

Existen compañías que ofrecen retribuciones económicas como por ejemplo Google, Facebook, Samsung SmartTV o Mega. Otras que ofrecen el reconocimiento público del investigador en su página web por su labor de ayuda a la compañía junto con un pequeño regalo como Dropbox o Amazon y otras compañías que solo ofrecen el reconocimiento público a través de su página web, como puede ser el caso de Twitter, MicrosoftApple o Tuenti.

Varias páginas web como bugcrowd o NibbleSecurity mantienen  un listado actualizado y completo de todas las empresas de productos o servicios que ofrecen algún tipo de salida en un mercado legal a todos los investigadores de nuevas vulnerabilidades, ya sea en forma de bug bounty sobre sus propios productos y servicios, o en forma de compra directa para posteriormente utilizarse en servicios de seguridad de valor añadido.

A continuación reproducimos el listado mas reciente de empresas que forman parte de este mercado legal de vulnerabilidades, publicado por bugcrowd.

Productos y Servicios (ofrecen recompensa)

Brokers y Empresas de Seguridad

Productos y Servicios (reconocimiento público y un regalo)

Productos y Servicios (reconocimiento público)

Productos y Servicios (sin recompensa)