Una de las charlas mas interesantes de la ekoparty fue sin dudas la de Pedram Amini, titulada "Mostrame la Guita! Adventures in Buying Vulnerabilities", en donde Pedram nos conto algunas anécdotas y estadísticas del mercado de la compra/venta de vulnerabilidades.
"Guita", en el lunfardo rioplatense significa "dinero" (ver Wikipedia), y "Mostrame La Guita!" seria un paralelismo a la famosa frase "Show me The Money!".
La charla cubrio todo el circuito de la compra/venta de vulnerabilidades, pasando por los researchers, el mercado y los vendors. Pero en mi opinión lo mas interesante fue conocer un poco mas sobre quienes son los compradores, que hacen con lo que compran y cuanto pagan por ello.
Hoy en dia, hay una gran cantidad de prestigiosos researchers que se ganan la vida honestamente vendiendo las vulnerabilidades que descubren. Pero como en cualquier otro negocio, vamos a encontrar un mercado legal, un mercado negro, y otro con muchos grises.
Según "Mostrame la Guita!", el mercado se divide de la siguiente forma:
La charla cubrio todo el circuito de la compra/venta de vulnerabilidades, pasando por los researchers, el mercado y los vendors. Pero en mi opinión lo mas interesante fue conocer un poco mas sobre quienes son los compradores, que hacen con lo que compran y cuanto pagan por ello.
Hoy en dia, hay una gran cantidad de prestigiosos researchers que se ganan la vida honestamente vendiendo las vulnerabilidades que descubren. Pero como en cualquier otro negocio, vamos a encontrar un mercado legal, un mercado negro, y otro con muchos grises.
Según "Mostrame la Guita!", el mercado se divide de la siguiente forma:
"White" Market:
- < 20.000 U$D:
- promedio entre 5.000 y 15.000 U$D
"Grey" Market:
.gov resellers:
- promedio entre 20.000 y 100.000 U$D
.gov:
- entre 100.000 y 1.000.000 U$D
- promedio es < 250.000
"Black" Market:
- 20.000 - 100.000 U$D
- cambios de precio a ultimo momento
Siempre me costo entender que gana el "White" Market comprando vulnerabilidades. Algunos de las razones son las siguientes:
- Suscripción anual para clientes que pagan por enterarse primero (sin detalles/sin PoC).
- Productos de seguridad que crean mayor protección contra estos ataques, como firmas para un IDS/IPS por ejemplo.
- Monitoreo mundial de explotaciones con 0-days.
- Reventa de las vulnerabilidades.
En el "Gray" Market, encontramos a gobiernos y a intermediarios de gobiernos. Puede pasar que el researcher no obtenga crédito por su descubrimiento, que se exija un PoC que explote la vulnerabilidad, que el Vendor nunca sea contactado ni tampoco se publique un advisory, y por supuesto que nunca sepamos que se planea hacer con todo eso. Pero claro, se paga mucho mas (hasta 1.000.000 U$D!)
El "Black" Market no hace falta comentarlo ;) Pero todo esto es solo un apice de lo que podemos encontrar en la presentación de Pedram, les recomiendo leerla en profundida, ver las "Notas del Presentador" en Google Docs, y también leer un documento de Charlie Miller llamado "The Legitimate Vulnerability Market", también sobre la misma temática.
Finalizando, me fascino esta presentación, aunque me hubiera sorprendido aun mucho mas, si en vez de llamarse "Mostrame La Guita!", se hubiera llamado "Che boludo, Mostrame La Guita!" :P
- Suscripción anual para clientes que pagan por enterarse primero (sin detalles/sin PoC).
- Productos de seguridad que crean mayor protección contra estos ataques, como firmas para un IDS/IPS por ejemplo.
- Monitoreo mundial de explotaciones con 0-days.
- Reventa de las vulnerabilidades.
En el "Gray" Market, encontramos a gobiernos y a intermediarios de gobiernos. Puede pasar que el researcher no obtenga crédito por su descubrimiento, que se exija un PoC que explote la vulnerabilidad, que el Vendor nunca sea contactado ni tampoco se publique un advisory, y por supuesto que nunca sepamos que se planea hacer con todo eso. Pero claro, se paga mucho mas (hasta 1.000.000 U$D!)
El "Black" Market no hace falta comentarlo ;) Pero todo esto es solo un apice de lo que podemos encontrar en la presentación de Pedram, les recomiendo leerla en profundida, ver las "Notas del Presentador" en Google Docs, y también leer un documento de Charlie Miller llamado "The Legitimate Vulnerability Market", también sobre la misma temática.
Finalizando, me fascino esta presentación, aunque me hubiera sorprendido aun mucho mas, si en vez de llamarse "Mostrame La Guita!", se hubiera llamado "Che boludo, Mostrame La Guita!" :P
FUENTES:
- Presentación "Mostrame La Guita!" en Google Docs
- DVLabs Blog: "Mostrame La Guita!"
- DVLabs Blog: Ekoparty Wrap Up
- Wikipedia: Guita
1 comentario:
Impresionante la verdad, no tenia idea de esto xD
Publicar un comentario