martes, 25 de enero de 2011

Publicar o no publicar: Esta NO es la cuestión


No han tardado... Uno de nuestros lectores, ya nos ha preguntado que sobre si que pensamos sobre el hecho de que desde este blog podamos dar ideas a los 'malos'.

He de decir, que este tema, ya lo tenía pensado, no es la primera vez que me ocurre, el año pasado por ejemplo, tras dar una conferencia sobre interceptación y aprovechamiento de conexiones satelitales, una persona de USA que trabajaba en 'análisis de amenazas en Virginia' (inteligencia vamos) me pregunto esto mismo. Antes de deciros mi respuesta, unos cuantos datos:

Hace unos 12/13 años, el mundo de la seguridad era bastante más reducido, prácticamente nos conocíamos todos, incluso en persona. Por aquel entonces ya existía cierto mercadeo con vulnerabilidades 0day (no publicadas), en congresos semi secretos, por chats y en ciertos foros especializados. Este trading se hacía cambiando exploits por otros exploits, muchos de ellos tardaban años en hacerse públicos lo que te daba una ventaja inmensa frente a competidores en el mundo de la seguridad o ventaja frente a los administradores de sistemas cuando aseguraban sus sistemas.


/** !!!! Private do not distribute !!!!
*
* <1080r2.c> defintive socks5 remote exploit / linux x86
*
* Usage:
* $ xhost +
* $ ./1080r2 [offset]
* => And wait a xterm to be sent back to you...
*
* Vulnerables: (offset)
* socks5-v1.0r10 (compiled on a turbolinux 4.0.5) => 0
* socks5-v1.0r9 (compiled on a turbolinux 4.0.5) => 0
* socks5-v1.0r8 (compiled on a turbolinux 4.0.5) => 0
* socks5-v1.0r10 (compiled on a redhat 6.0) => 400
* socks5-s5watch-1.0r9-2 (redhat-contrib) => no?
* socks5-0.17-1 (redhat 4.2) => no
* socks5-1.0r10-5 (redhat-contrib) => no??
* socks5-server-1.0r6-8TL (TurboContrib) => no??
*
* By: The Dark Raver of t0s (Spain - 9/5/2000)
* -
* "Pasaba arrolladora en su hermosura
* y el paso le dejé,
* ni aun mirarla me volví, y no obstante
* algo en mi oído murmuró, esa es..."
*
*/
….



/*
#### PRIVATE DO NOT DISTRIBUTE ####


Expl para el Iplanet Web Proxy 1.0
Format bug en sistema de logs de errores.


Modificamos el SEH con la direcci¢n 0x100015F8 que pertenece a ns-proxy35.dll
y es un "call %ebx" ya que %ebx apunta al inicio del shellcode y %ebx no se
modifica al cambiar al contexto del SEH.


Esto es una BETA deberia de funcionar de manera local
// Se buscan programadores de shellcodes para win32 <- Ya no! // ref 0xdeadcafe Por cierto, esto deberia de compilar en todos los compiladores de C y se usa: .\iwpx |nc

Leonardo Nve aka Fuego Fatuo
fatuo@t0s.org

Agradecimientos:

Dark Raver, Zhodiac, kekabron y Raise por su I+D para win32

al resto de 0xdeadcafe


#### PRIVATE DO NOT DISTRIBUTE ####

*/
….


Cabeceras de algunos exploits que eran 0days hace 10 años.  Sniff! Que tiempos.

Desde hace muy poco, esto ha cambiado, ahora este mercadeo se da a cambio de dinero. Todo empezó con proyectos como iDefense o el ZDI (Zero Day Initiative), empresas que compran vulnerabilidades a los investigadores. Inicialmente el dinero que te daban por una vulnerabilidad importante era de 1000$. Luego estas empresas les cobraban más a los fabricantes por el servicio de decirles sus vulnerabilidades antes de que sean publicadas y permitirles publicar un parche, así como vendían a profesionales para que pudieran advertir a sus clientes en el transcurso de una auditoría o  mantenimiento.


Junto con esto, surgieron otras familias que dedicándose al mundo de botnets/phising vieron que esta información era importante, ir por delante de los sistemas de seguridad les era rentable, así que empezaron a comprar vulnerabilidades también en el mercado negro. Es evidente que el precio de estas vulnerabilidades sube, oferta y demanda.... Ahora los precios oscilan de 1000$ a 100.000$, según diversos sitios, la media está en 50.000$, todo depende de que producto sea el vulnerable, lo difundido que esté, lo “zero” que sea esa vulnerabilidad, y más criterios. Según estos precios, ¿Por qué publicar y no vender?


  Fuente zdnet

¡¡¡Y aún hay más!!! Como vemos en el siguiente cuadro extraído de un informe  de ESET, vemos como tanto en el caso de Stuxnet y de la operación Aurora, se usaron 0days. Estos proyectos siempre han sonado a operación de Ciberinteligencia, puede que estas vulnerabilidades las hayan encontrado ellos o las hayan comprado, quien sabe... 




La cuestión es, ¿Estaríamos más seguros con esto publicado o sin publicar?

¡¡¡Y aún hay más!!! No solo se venden vulnerabilidades o técnicas, también sitios gubernamentales y militares ya hackeados, como veréis en este caso los precios son una ganga:


Ahora haced un esfuerzo de imaginación, y pensad que pasaría si no se hubiera publicado las técnicas de descifrar WEP... Si, los vecinos no se robarían el wifi mutuamente, pero imaginad que podrían hacer aquellos que SI supieran hacerlo... 


Al final del artículo, publico una serie de links sobre el tema de compra/venta de vulnerabilidades, pero hay una presentación de Pedram Amini  “Mostrame la guita!” en la que explica muy bien este mundo. [Presentación] [Video]

Mi respuesta a la persona, que me preguntó sobre el uso de por parte de los malos de lo que publiqué fue, ¿Como sabemos que no lo estában haciendo ya?

Es necesario conocer nuestros puntos débiles, para esto se ha de promocionar la investigación (algo sobre lo cual no se hace lo suficiente a mi opinión) y la publicación, a no ser que nos interese que el  mundo se mantenga algo inseguro... No obstante, tengo los pies en la tierra, algunos de los fallos publicados y que se publicarán, no pueden ser solucionados de un día a otro debido a su complejidad, no solo técnica, sino también económica. ¿Qué hacer? Las empresas/administradores/agentes de seguridad implicados deben de crear una política de detección de ataques, y de reacción a los mismos haciendo un plan de contingencia adecuado. El objetivo: minimizar los posibles efectos a un nivel aceptable hasta que se ofrezca una solución viable (y por supuesto empezar a  buscarla).

Mañana, un ejemplo:  ¿¿¿Seguridad en GSM??? Nooooo



/* 


Pregunta para los comentarios: ¿Se podría comparar el tráfico de vulnerabilidades al tráfico de armas? 


*/


Links interesantes:


Charlie Miller’s paper on selling zero-day vulnerabilities: http://weis2007.econinfosec.org/papers/29.pdf

VeriSign’s bug-buying program: 
http://labs.idefense.com/vcp

TippingPoint’s bug-buying program: 
http://www.zerodayinitiative.com

Google’s bug-buying program: 

Mozilla’s bug-buying program:
http://www.mozilla.org/security/bug-bounty.html

No hay comentarios:

Publicar un comentario en la entrada