A ascensão do Gray Market e sua recompensa de USD $1,000,000
Há cerca de um ano venho discutindo em minhas palestras sobre a ascensão do comércio de vulnerabilidades 0-day, especialmente por causa do surgimento de um novo mercado, o Gray Market. Este novo mercado se ascendeu principalmente após a descoberta do Stuxnet em 2010, quando muitos pesquisadores abriram seus olhos para o grande valor dessas vulnerabilidades para governos, agências de inteligência, empresas de espionagem, dentre outros. Desde então várias empresas têm emergido neste mercado, dentre as quais podemos citar: VUPEN, Zerodium, ReVuln, Netragard, Endgame Systems e Exodus Intelligence.
A novidade neste cenário foi o anúncio de talvez a maior recompensa já paga para um conjunto de vulnerabilidades/exploits 0-day. A Zerodium anunciou ontem (02/11/2015) em seu Twiiter (@Zerodium) que recompensou o valor de USD $1,000,000 a um time de pesquisadores por um conjunto de exploits que exploram uma série de vulnerabilidades no Chrome e iOS 9 para um completo Jailbreak remoto do iPhone. Um Jailbreak como este pode permitir um atacante instalar qualquer aplicativo desejado com todos os privilégios. Tal capacidade é de grande valor para agências de inteligência que poderiam agregar este método em meio às suas técnicas de espionagem.
Uma notícia como essa serve para nos mostrar a grande força deste mercado, uma vez que para se ter a capacidade de recompensar uma quantia destas, os lucros devem estar bem acima disto. Mas, neste contexto, talvez caiba a pergunta: Em que isso me afeta?
Por mais que o Gray Market alega vender suas vulnerabilidades somente para governos de países democraticamente estáveis e que respeitem os direitos humanos, no Gray Market as vulnerabilidades não são corrigidas, assim, quem pode garantir que outros grupos como terroristas e governos ditatoriais não estão de posse das mesmas vulnerabilidades?
Há alguns meses atrás nos deparamos com o emblemático caso do vazamento de dados da Hacking Team, uma empresa italiana de Ciberespionagem. Dentre os documentos vazados, alguns indicavam negociações entre a Hacking Team e países como: Etiópia, Barém, Egito, Cazaquistão, Marrocos, Sudão, Arzeibajão e outros, todos conhecidos por infrações aos direitos humanos, perseguição a imprensa e políticos dissidentes, passando longe do jargão ‘democraticamente estáveis’. O interessante é que muitas das empresas do dito Gray Market vendiam suas vulnerabilidades à Hacking Team, o que quebra o discurso dessas empresas de vender somente para os “politicamente corretos”.
Portanto, a ascensão do Gray Market representa para a nós a criação de todo um ecossistema de insegurança, uma vez que mais vulnerabilidades são encontradas e menos são corrigidas e que essas ainda podem cair nas mãos de governos e/ou organizações perigosas. Vale também notar que no centro de tudo isso novamente se encontra o software e enquanto a segurança no desenvolvimento deste não for amadurecida continuaremos a enfrentar um ambiente cada vez mais hostil no ciberespaço.
Artigo originalmente publicado em: www.acmesecurity.org/ascensao-gray-market-recompensa-1000000/
Originally published at securityin.com.br on November 3, 2015.
