¿Qué hace Zerodium con sus vulnerabilidades y errores comprados? [cerrado]

1

Me encontré con la compañía de ciberseguridad Zerodium . Ofrecen recompensas más grandes que la mayoría de las compañías que piden cazadores de errores:

Debidoalagrancantidaddeerrores,loscazadoresdeerroresvendensusvulnerabilidades/erroresencontradosaZerodiumenlugardealacompañíaquetienelasvulnerabilidades/errores.

Ensupágina"Acerca de nosotros" no mencionan lo que hacen con sus proezas y errores comprados o cómo ganan su dinero. En sus preguntas frecuentes mencionan:

  

Los clientes de ZERODIUM son principalmente organizaciones gubernamentales que necesitan capacidades de ciberseguridad específicas y personalizadas, así como grandes corporaciones de defensa, tecnología y sectores financieros, que necesitan soluciones de protección para defenderse de los ataques de día cero. El acceso a las soluciones y capacidades de ZERODIUM está altamente restringido y solo está disponible para un número muy limitado de organizaciones.

¿Hay alguna información adicional para sus clientes y qué hace Zerodium con sus vulnerabilidades y errores adquiridos?

    
pregunta Nightscape 10.12.2018 - 13:33
fuente

2 respuestas

4

Zerodium no es "conocido por sus grandes recompensas", pero sí por el marketing agresivo. En realidad, son jugadores bastante pequeños en todo el mercado de brokers de exploits, y pagan mucho menos de lo que anuncian. En general, compañías como estas comprarán explotaciones con armas y las venderán, generalmente a gobiernos que las utilizan, entre otras cosas, para explotar y rastrear a disidentes o incluso a periodistas.

Tenga en cuenta que el precio que enumeran es el pago máximo . La gran mayoría de las hazañas se comprarán a un precio mucho más bajo. Es más probable que se alinee con el precio por el que la venden , ya que necesitan obtener una ganancia. Dado que los gobiernos tienen suficiente dinero de los contribuyentes, pueden permitirse pagar precios no competitivos y asegurarse de que Zerodium y sus socios les vendan de manera preferencial.

La industria de 0 días está compuesta por varias compañías diferentes, algunas de las cuales son explícitamente contratistas del gobierno, así como personas privadas que compran y venden exploits. En general, les das un ataque armado y te pagan lentamente durante un período de tiempo. Si por alguna razón el parche es reparado antes de que hayan terminado de pagar, dejarán de pagarle. Esto proporciona un incentivo para no usar y quemar el exploit por su cuenta. Los agentes de explotación a menudo se conocen entre sí y dicen que las vulnerabilidades están en posesión de los viajes, lo que a su vez hace que sea difícil tratar de vender la misma vulnerabilidad a múltiples compañías diferentes. Esto es cierto para la mayoría de los agentes de explotación.

    
respondido por el forest 10.12.2018 - 14:05
fuente
3

De Wikipedia , segunda oración:

  

Su negocio principal es adquirir vulnerabilidades premium de día cero con explotaciones funcionales de parte de investigadores y compañías de seguridad, e informar sobre la investigación, junto con medidas de protección y recomendaciones de seguridad, a sus clientes corporativos y gubernamentales.

Y de la segunda referencia en el artículo de Wikipedia: Aquí hay una lista de precios de empresas espía para técnicas de piratería secreta :

  

... clientes, que dice que incluyen "organizaciones gubernamentales que necesitan capacidades de ciberseguridad específicas y personalizadas", así como clientes corporativos que dicen que utilizan las técnicas con fines defensivos

No se documenta públicamente lo que los clientes realmente hacen con este conocimiento adquirido y quiénes son exactamente los clientes (es decir, los aspectos legales y éticos no se conocen y podrían no estar alineados con la ética que la mayoría de nosotros tenemos), pero parece que valga la pena que compren esta información.

    
respondido por el Steffen Ullrich 10.12.2018 - 14:07
fuente

Lea otras preguntas en las etiquetas