miércoles, 1 de febrero de 2017

MOBILE SECURITY FIRM QUIERE COMPRAR CADUCADOS ZERO-DAYS


Zimperium, la empresa de seguridad móvil que descubrió el error Stagefright en el verano de 2015, anunció ayer su intención de comprar explota completamente de trabajo para el ex Android y iOS con cero días.
Cero días son los errores de seguridad que se utilizan en ataques en vivo, pero para los cuales no hay parche disponible. Una vez que el proveedor afectado por el día cero emite una actualización de seguridad, el día cero se convierte en un N-día, o falla de seguridad regular, que los usuarios pueden mitigar mediante la aplicación de la última actualización del producto.
En la escena subterránea piratería, los piratas informáticos y los investigadores de seguridad pueden vender los cero días que descubren por miles de dólares. A veces, dependiendo del impacto y la posibilidad de explotación de día cero de, cero días se han conocido para llegar a cientos de miles de dólares o incluso millones.
Por ejemplo, una compañía llamada Zerodium se ha sabido para ofrecer a millones de remotamente explotables con cero días de más reciente versión de IOS de Apple, una oferta que sigue en pie hoy en día. A continuación se muestra una tabla con los precios Zerodium se sabe que pagar por diversos tipos de cero días.
Zerodium precios 0-día
Pero este mercado floreciente de repente ir fría cuando los vendedores se enteran de la falla y el parche el día cero.
En la mayoría de los casos, un parche de día cero vale 0 $. A pesar de esto, muchos de estos con cero días, y su cadena de explotar, no salen a la luz, y los atacantes todavía utilizan el durante meses o años, atacando a los usuarios el uso de dispositivos obsoletos y versiones de software.

ZIMPERIUM LANZA N-DÍA PROGRAMA DE ADQUISICIÓN EXPLOIT

Aquí es donde entra en juego la oferta de Zimperium. La compañía espera que los piratas informáticos y los investigadores de seguridad van a vender estos usados ​​con cero días, en lugar de mantenerlos en secreto.
Zimperium no dio detalles acerca de cuánto está dispuesto a pagar por cada N días explotar, pero la compañía dijo que lo hace para aumentar la eficiencia de su motor de análisis z9, desplegado a través de aplicaciones de la compañía en los teléfonos de miles de empresas de todo el globo.
Además, Zimperium también planea lanzar la N-día código de explotación de todos, para otros investigadores y empresas de seguridad pueden proteger a sus clientes contra ataques similares, aprender de la rutina de explotar y utilizar el conocimiento para identificar los errores de seguridad similares.

N-DÍA CÓDIGO DE EXPLOTACIÓN PARA SER COMPARTIDA CON PROVEEDORES, COMPAÑÍAS DE TELEFONÍA MÓVIL

Además, la N-exploit día también será compartida con los miembros de la Zimperium Handset Alliance (ZHA), que incluye grandes nombres como Samsung, Blackberry, Telstra, y otras compañías de telefonía móvil y los fabricantes de terminales, que va a tener 30 días para emitir parches antes Zimperium hace público el exploit código.
Zimperium dijo que asignó $ 1.5 millones para financiar la primera etapa del Programa de Adquisición de Exploit, que es alrededor del pago máximo un investigador podría obtener de la venta de un día cero completamente funcional a Zerodium.
Fuente: https: //www.bleepingcomputer.com/
CONOCIMIENTO pertenece al mundo

No hay comentarios:

Publicar un comentario

Disqus Shortname

Comments system