Fuente: cnn.comEn el mundo hay muchas empresas que trabajan en el campo de la seguridad de la información, pero como en la dirección opuesta. Dichas organizaciones compran información sobre métodos de piratería para servicios y aplicaciones conocidos y no muy conocidos, y también compran exploits.
Una de esas organizaciones, Zerodium, ha
anunciado una recompensa de $ 1 millón por sus herramientas de craqueo de WhatsApp e iMessage. Se pagará una cantidad similar a aquellos que proporcionan vulnerabilidades que permiten el acceso a aplicaciones SMS / MMS de sistemas operativos móviles.
Y todo esto está en un campo legal absolutamente legal. La organización trabaja en interés de los servicios gubernamentales de todo el mundo. "Las aplicaciones de mensajería, incluido WhatsApp, a veces actúan como un canal de comunicación para los atacantes, y el cifrado dificulta que los servicios de seguridad obtengan los datos necesarios", dijo el fundador de Zerodium, Chauki Bekrar. Él cree que la capacidad de obtener acceso remoto a varias aplicaciones de este tipo ayuda a las agencias de inteligencia a trabajar de manera más eficiente.
Vale la pena señalar que comprometer el iPhone de un atacante podría costarle al estado $ 2 millones o más.
Un precio tan alto es un indicador de que los gadgets realmente están cada vez mejor protegidos. Son más difíciles de descifrar incluso por especialistas de clase alta, y esto se aplica tanto a iOS como a Android. La vida de los servicios especiales es complicada, porque incluso si el teléfono cae en manos de la policía o la agencia de inteligencia, no siempre es posible extraer información de él.
Hasta hoy, Zerodium estaba listo para pagar medio millón de dólares estadounidenses por hackear WhatsApp e iMessage. Ahora el precio del problema ha aumentado, aparentemente, los servicios especiales del gobierno están listos para pagar más por la "solución del problema".
$ 1 millón no es el límite. Los gobiernos están dispuestos a pagar más, todo depende de la urgencia de la tarea que debe abordarse y de la escala del trabajo que debe realizarse. Naturalmente, nadie compartirá información con las empresas de mensajería en cuestión. Este no es el caso. Las vulnerabilidades se compran para ser utilizadas de forma independiente, manteniendo información secreta sobre la posibilidad de piratería.
Gracias a la gran recompensa, piratear mensajeros puede tratar con equipos enteros de especialistas, en lugar de solitarios, como era antes. El jefe de startup Zerodium dice que ahora hay tantos "productos" en la "industria del día cero" como nunca antes. "Ni siquiera puedes imaginar lo que se está desarrollando y vendiendo en este mercado", dice Bekrar.
Vale la pena señalar que la recompensa de Zerodium es mucho mayor que los "premios" de los programas de recompensas de muchas organizaciones. Por lo tanto, los desarrolladores que han encontrado una vulnerabilidad particular no tienen prisa por compartir información sobre su hallazgo con los desarrolladores de software comprometido. Como resultado, surgen situaciones divertidas. Por ejemplo, Apple lanzó un programa de recompensa por vulnerabilidades encontradas en 2016. Pero aún no está claro si alguien recibió una recompensa. En 2017,
no había tales personas .
¿Y quién quiere compartir esos datos si Zerodium paga $ 2 millones por un jailbreak remoto de iOS? Esto es 10 veces más que el de Apple: en el marco del programa de recompensas, la corporación no puede pagar más de $ 200 mil, y es posible que el pago ni siquiera se realice si a los especialistas de Cupertino no les gusta algo. Hace solo unos meses, Zerodium estaba listo para pagar $ 500 mil menos que ahora, aparentemente, las necesidades de los clientes de inicio están creciendo. Y no solo las vulnerabilidades para iOS se están volviendo más caras. Para el exploit Chrome RCE + LPE, el monto de pago es de $ 500,000. Esto es menos que en el caso de recibir herramientas para hackear iOS, pero el monto sigue siendo muy significativo.
Los clientes de la startup eran unidades gubernamentales como Equation Group (FiveEyes, Tilded Team) y Animal Farm (Snowglobe). Los especialistas en seguridad de la información se ponen en contacto con la empresa que desean obtener más que las empresas cuyos productos han sido pirateados y no desean esperar unos meses (revisando información sobre piratería en Apple, Facebook, Microsoft, etc.). En Zerodium, el dinero se paga dentro de una semana después del inicio de la revisión de datos sobre la herramienta propuesta por el cracker.