Cada profesión o habilidad puede explotarse para bien o para mal. Lo mismo ocurre con los hackers, y antes de que pienses que un hacker es una mala persona, quiero recordarte que hay una diferencia entre un hacker y un hacker. Como ya hemos hablado antes Y que el pirata informático es el que roba programas, sitios web, etc., pero el pirata informático es un profesional en el descubrimiento de lagunas en los sistemas informáticos. Originalmente, esta profesión se utilizaba para proteger los sistemas contra los piratas informáticos. Por ejemplo, si es propietario de una empresa y desea asegurarse de que su sistema esté protegiendo sus datos y que estén a salvo de la piratería, utiliza un pirata informático para que le revele las vulnerabilidades del sistema y luego las aborda. Y muchas grandes empresas, como Google y Facebook, ofrecen grandes sumas de dinero a los piratas informáticos si descubren fallas en sus sistemas y les informan de ellas.
Ahora que sabemos que el hacker es solo un desarrollador profesional que usa su habilidad para el beneficio de otros, entonces ¿cómo se puede usar este conocimiento para el mal? Bueno, déjame decirte el otro lado malo que pueden tomar algunos piratas informáticos profesionales, que puede generarles decenas de miles de dólares al mes, y el retorno es "vender agujeros de seguridad a las agencias de inteligencia".
La noticia puede resultar impactante para algunos, pero esta es la verdad, que presentó en detalle Sitio web de Forbes El famoso. Recientemente, se difundió la noticia de que Google había pagado $ 60 a dos programadores que pudieron encontrar fallas de seguridad graves en el navegador Google Chrome, y Google proporciona continuamente actualizaciones a su famoso navegador y publica una lista de los montos pagados a las personas que han podido para encontrar agujeros de seguridad en el navegador. Estos montos se les paga como recompensa para que les ayuden a encontrar estas lagunas y luego cerrarlas, pero las cantidades habituales a ver son 1000-2000 dólares, pero las cantidades llegan a 60 mil dólares para dos personas, o 120 dólares para dos brechas, esto muestra la seriedad de estas lagunas y puede abrir la página de versiones de Google Chrome y ver las recompensas pagadas para los desarrolladores A través de este enlace.
Obtener una recompensa por encontrar una vulnerabilidad es normal y bienvenido, no importa cuán grande sea la cantidad, pero no se detiene ahí. Chaouki Bekrar, el propietario de una de las empresas que trabajan en el campo de la investigación de seguridad, menciona que su empresa no no informar a Google sobre los métodos utilizados para encontrar agujeros de seguridad, ni siquiera por la cantidad de 60 mil dólares. Agregó: “No compartiremos estos secretos con Google, ni siquiera la cantidad de un millón de dólares, y no les contaremos sobre formas de ayudarlos a cerrar los agujeros de seguridad. Queremos mantener este asunto solo para nuestros clientes ". Esto significa que informarán a otras personas sobre los agujeros de seguridad y las formas de prevenirlos, pero no se lo dirán a Google. Esto significa que estos clientes no queremos que Google cierre estas lagunas, de lo contrario permitirían que la vulnerabilidad las alcance. ¿Sabes quiénes son estos agentes? "Son las agencias de seguridad del gobierno".
Según el informe, los piratas informáticos pueden ganar un promedio de 2000-3000 dólares por la vulnerabilidad de seguridad que descubren en un sistema operativo, sitio web de la empresa o incluso un programa famoso, informando al propietario del programa de la existencia de esta vulnerabilidad y obteniendo el recompensa tradicional. Pero puede ganar 10 veces y tal vez 100 veces esta cantidad de la policía, los servicios de seguridad o incluso espías y enemigos del propietario de este proyecto a cambio de forzarlos con esta laguna y mantenerlo en secreto del propietario del programa en para no cerrarlo. Una de las organizaciones que se especializa en este campo, llamada Vupen, dijo que sus clientes pagan $ 100 anualmente para suscribirse a un servicio confidencial de conocimiento de vulnerabilidades. Es decir, la empresa busca vacíos y hace paquetes "como paquetes telefónicos" y en ellos participan varias partes con sumas descomunales para obtener los vacíos en secreto y sin anunciarlos, y no preguntan a Corporación Vupen Les dices cómo obtener las vulnerabilidades, ni siquiera quién más las compró, y todo lo que quieren es obtener la vulnerabilidad y no publicarla. En cuanto a los programas en los que encuentran fallas de seguridad y los venden a sus clientes, mencionaron, por ejemplo, Microsoft Word, Adobe Reader, Google Android y finalmente el famoso sistema Apple iOS, y este último es el más caro en precio porque es el más frecuente y el más difícil de penetrar. Aquí hay una lista de precios de vulnerabilidad, según cada sistema operativo y aplicación.
Por supuesto, hay muchos factores que controlan el precio, incluida la propagación del sistema operativo, significa que el grupo objetivo de la vulnerabilidad es una categoría grande, y también la novedad del sistema, por lo que la penetración de un sistema moderno cuesta más porque las vulnerabilidades aún son nuevas y la empresa que las vende no imaginará que se rompe tan rápido, y vemos en la lista que el precio de una vulnerabilidad del sistema Operando la Mac (en la que estoy trabajando ahora) vale 20-50 mil dólares frente a los 60-120 del sistema operativo Windows, lo que a algunos les parece ilógico porque todo el mundo piensa que el sistema Mac es el más seguro, por lo que sus vulnerabilidades serán las más caras, pero hay otro factor que es que si se sabe Para una fuerte vulnerabilidad de Windows, se dirige a más de mil millones de dispositivos en todo el mundo, y este número es dos veces mayor que el de los usuarios de Mac. Pero a pesar de estas enormes sumas que obtienen a cambio de las vulnerabilidades, la Fundación Vupen no vende las vulnerabilidades exclusivamente a un comprador, sino que las vende a más de un comprador, y ninguno de ellos sabrá que hay quienes compraron las Tiene la misma vulnerabilidad que él y puede venderlo a más de una agencia gubernamental y depende de que cada comprador no le diga a nadie que conoce este vacío legal.
El equipo de Vupen en la popular conferencia de hackers Pwn2Own
Pero hay algunos hackers que prefieren identificar a los compradores de las vulnerabilidades propias y ser grandes instituciones o alianzas como la OTAN y sus miembros y no venden las vulnerabilidades a ningún país fuera de la OTAN y dijeron que verifican las órdenes de compra y buscan evitar que la información y las lagunas que obtienen lleguen a los regímenes no democráticos porque los regímenes dictatoriales utilizarán las lagunas contra su propio pueblo, mientras que los regímenes democráticos las utilizarán para proteger a su pueblo de los terroristas y otros. Pero el problema, según su dicho, es que no garantizan que el incumplimiento quede en manos del comprador solo porque si le vendes un arma a alguien, no garantizas que esa persona no venda el arma a un un tercero o que este comprador bueno y confiable sea solo un intermediario como sucedió según dicen que vendieron una vulnerabilidad de seguridad a alguien. Los países árabes se sorprendieron entonces de que el régimen sirio la esté utilizando para monitorear a los activistas políticos. El informe dice que Vupen no le pregunta al usuario qué hará con esta vulnerabilidad o, más precisamente, no le importa saber porque lo único que le importa es obtener el monto acordado en su cuenta únicamente, sino si la vulnerabilidad es mejorado o mal utilizado, esto no es importante para él.
La pregunta que surge es ¿cómo se venden estas lagunas? Puede que seas un profesional en el campo de las computadoras y descubras una vulnerabilidad, pero no eres un profesional en el marketing y la estimación de su precio, ni siquiera puedes lidiar con los servicios de seguridad como inteligencia y otros para venderles las vulnerabilidades. Eres solo un programador profesional y no sabes nada más que programación. Aquí viene el papel de los mediadores, incluido el de Grugq, que es un nombre cinético, por supuesto. Vive en la capital tailandesa, Bangkok, y trabaja como mediador.% De estos acuerdos son comisión. ¿No crees que ese porcentaje es pequeño, según él, el año pasado consiguió más de un millón de dólares en acuerdos, y eso te hace imaginar el tamaño de los acuerdos que hace? Y su fama se ha extendido por el mundo, lo que hace que ahora no se ocupe de simples lagunas y no acepte un trato si el precio objetivo de la laguna no consta de al menos 15 números, y se mencionó que en diciembre pasado vendió escapatoria a una agencia gubernamental a un precio de un cuarto de millón de dólares. Si crees que este trabajo es secreto y esta persona no conoce su verdad, entonces esto no es cierto, ya que trabaja en público y esta es su foto en un restaurante en el que trabaja.
Cuando se le preguntó cuáles son las lagunas más rentables para él y las más caras, respondió: "Por supuesto que iOS, incluso después de la expansión de Android, pero Android es fácil de penetrar, ya que iOS requiere romper las barreras de seguridad de Apple y su complejo sistema. por lo que es el más difícil y caro ". jailbreakme La cual era solo una página web que hizo un retiro, por lo que le pasó el jailbreak que hay organizaciones dispuestas a pagar más de un cuarto de millón de dólares a cambio de hacerse exclusivas de ellas porque les permitirá penetrar fácilmente cualquier dispositivo a través de el navegador Safari. En cuanto a su cliente más importante, dijo que es el gobierno de Estados Unidos, que, según el comunicado, es el mayor comprador de lagunas y la parte que más paga, y de ellos obtiene el 80% de sus ingresos. También hay otras agencias gubernamentales, incluida China, en las que hay una gran cantidad de desarrolladores que trabajan para encontrar las vulnerabilidades y venderlas solo al gobierno chino. Sin embargo, la situación difiere en el Medio Oriente, donde el mercado se considera débil por muchas razones, incluida la falta generalizada de dependencia generalizada de la tecnología por parte de los gobiernos y las personas en todas las direcciones de sus vidas.
Y a veces los piratas informáticos buscan publicar videos para identificarlos y también ser propaganda y demostrar poder. En mayo de 2011, Vupen publicó un video de un hack de dispositivos con exploits en Chrome, pero no dieron ninguna información a Google sobre esta vulnerabilidad y se negó para decirle cómo cerrarlo. Google anunció que usaron una vulnerabilidad en el flash en el navegador para penetrarlo, no en el navegador en sí, y emitieron una actualización para cerrar esta vulnerabilidad, pero Vupen respondió a Google diciendo que engaña a los usuarios y que la vulnerabilidad aún existe y ellos También se negó a ayudarlo, lo que llevó a los funcionarios de Google a describir a los piratas informáticos como oportunistas e inmorales y dejar a millones de usuarios que están en riesgo solo para demostrar su fortaleza.
Conclusión
- Algunos piratas informáticos encuentran vulnerabilidades y las venden a empresas oficiales para cerrarlas y obtener recompensas. Esto es bueno y beneficioso para el usuario y las empresas.
- Algunos piratas informáticos venden estas vulnerabilidades a terceros que no quieren que se cierren estas vulnerabilidades para que puedan utilizarlas con fines de espionaje. Esto es malo y duele a todos.
- Los piratas informáticos no garantizan cómo un comprador utilizará esta vulnerabilidad.
- Hay algunas personas que trabajan como intermediarios y obtienen enormes sumas de dinero por ello.
- Las vulnerabilidades más lucrativas son las de iOS porque son las más difíciles.
- El hacker puede descubrir vulnerabilidades del sistema como iOS y no usarlas en el jailbreak, pero venderlas a agencias gubernamentales para penetrar en los dispositivos de los usuarios y no anunciarlas para que Apple no las cierre.
Comentario de 192