Ícone do site Blog do Edivaldo – Informações e Notícias sobre Linux

Zerodium Oferece Recompensa Por Exploits Zero-Day em Distros Linux

Existe mercado para tudo, e um bom exemplo disso é o caso da Zerodium, que está oferecendo recompensa por exploits Zero-Day em distros Linux. Confira os detalhes dessa proposta.


Por mais incrível que possa parecer, é isso mesmo! Uma startup que compra exploits zero-day pagará aos hackers $45.000 por exploits de escalonamento privilégio local no Linux, mais especificamente, em distribuições populares como o Ubuntu, Debian e Fedora.
Zerodium Oferece Recompensa Por Exploits Zero-Day em Distros Linux

Só pra esclarecer, um exploit Zero-Day (dia zero) é um tipo de falha que pode ser explorada no mesmo dia (ou poucos dias depois) em que um ponto fraco for descoberto no software. Ou seja, ele pode ser explorado antes que uma correção seja disponibilizada pelo criador do software. Quando isso ocorre, há pouca proteção contra um ataque, já que a falha do software é nova. Daí surge o alto interesse nesse tipo de falha.

Com sede em Washington, D.C., a empresa Zerodium, se tornou famosa por seu programa de compra de exploits. Ela geralmente paga recompensas tão altas quanto $1,5 milhão, se a pesquisa for completamente original e se o alvo estiver certo. Obviamente, o preço depende da segurança do alvo, e da demanda no mercado.

Mas embora o programa seja amplamente conhecido na comunidade de ciber segurança, os resultados são altamente secretos. Isso porque a Zerodium vende esses exploits para clientes do governo, que irão pagar pela capacidade de quebrar praticamente qualquer tipo de computador.

Os exploits de escalonamento de privilégios são particularmente valiosos porque eles permitem que um invasor obtenha acesso a partes de um computador que, de outra forma, seriam restritas a eles.

Zerodium Oferece Recompensa Por Exploits Zero-Day em Distros Linux

A nova oferta de recompensa de $45.000 de escalonamento de privilégio local para Linux teve um aumento $15.000 do habitual de $30.000 da Zerodium, o que sugere um aumento na demanda. Porém, essa é uma oferta com uma data de validade: O aumentado desses pagamentos durarão somente até 31 de março.

Questionado no Twitter, o fundador da Zerodium, Chaouki Bekrar, ainda não deu seu parecer.

Seguindo o mesmo exemplo dessa oferta, em 2017, a Zerodium ofereceu uma recompensa de $1 milhão a todos os hackers que encontrassem bugs e explorações contra o navegador Tor Browser. Essa oferta durou três meses e terminou em dezembro.

O preço habitual para explorações zero-day são de até $1 milhão. Alguns observadores viram esse pagamento de sete dígitos como um golpe publicitário, mas Bekrar disse apenas que a demanda dos clientes governamentais era alta, e nunca comentou sobre o resultado do programa.

Historicamente, a recompensa mais elevada da Zerodium foi de $1.5 milhão para um jailbreak zero-day remoto contra o iPhone.

Esse preço elevado, juntamente com os comentários de outros na indústria, mostram o alto nível de dificuldade que os hackers estão tendo contra o dispositivo principal da Apple, que é notório por seu nível cada vez mais elevado de segurança, em comparação com o resto dos gadgets do mundo mobile.

A Zerodium também oferece $500.000 por zer-day contra apps de mensagens seguras como o Signal, WhatsApp, Telegram e iMessage.

No ano passado, disse Bekrar à CyberScoop:

“o preço que Zerodium coloca em um produto é sempre uma indicação da segurança desse produto, quanto maior o preço, melhor é a segurança desse produto. Os preços resultam de uma alta demanda e de uma pequena superfície de ataque nesses aplicativos, o que torna a descoberta e a exploração de bugs críticos muito desafiadores para os pesquisadores de segurança.”

Ou seja, o valor da recompensa por exploits Zero-Day em distros Linux está em alta, pq o sistema está cada vez mais seguro, provavelmente pelas constantes atualizações feitas pelos projetos.

O que está sendo falado no blog nos últimos dias


Sair da versão mobile