Fundador de VUPEN lanza nueva firma de Adquisicion de Vulnerabilidades Dia Cero llamada Zerodium

En las semanas desde el ataque a Hacking Team, el centro de atención ha brillado en ángulo recto hacia las pequeñas y a menudo sombrías empresas que están en el negocio de compra y venta de exploits y vulnerabilidades. Una de estas empresas, Netragard, esta semana decidió salir de ese negocio después fueron expuestos sus relaciones con Hacking Team. Pero ahora hay un nuevo competidor en el campo, Zerodium, y hay algunos nombres conocidos detrás de él.

La compañía fue lanzada por Chaouki Bekrar, fundador de VUPEN, un vendedor de vulnerabilidades y exploits que a menudo se encuentra en el centro de las discusiones acerca de la legalidad y la ética de este tipo de empresas. VUPEN es una de las empresas raras en ese campo que hace todo desde su propia investigación y desarrollo; no compra vulnerabilidades o exploits de fuentes externas.
Pero ahora, en un momento en que nunca ha habido más atención por parte de los legisladores, medios de comunicación y gobiernos, Bekrar ha creado una nueva empresa enfocada directamente a la compra de bugs y exploits.

Zerodium planea centrarse exclusivamente en la compra de vulnerabilidades de alto riesgo, dejando a un lado el extremo inferior del espectro. La compañía utilizará las vulnerabilidades que adquiere para compensar una fuente de vulnerabilidades, exploits, y medidas defensivas, que proporciona a los clientes.

“ZERODIUM paga recompensas de primera calidad a los investigadores de seguridad para adquirir sus descubrimientos de día cero y exploits que afectan a los sistemas operativos utilizados, software y / o dispositivos. Mientras que la mayoría de los programas existentes de recompensas de errores puede aceptar casi cualquier tipo de vulnerabilidades y PoCs pero paga recompensas bajas, en ZERODIUM sólo nos centramos en las vulnerabilidades de alto riesgo con exploits completamente funcionales y fiables, y pagamos recompensas más altas “, dice el sitio de la compañía.

Zerodium buscará vulnerabilidades y exploits para las plataformas y aplicaciones más utilizadas, incluyendo Windows, OS X, y Linux; los cuatro principales navegadores; Flash y Reader; Microsoft Office; Android, iOS, BlackBerry y Windows Phone; y los principales servidores de correo y web. Lo que la empresa no está interesado es en la compra de exploits o vulnerabilidades en servicios web como Google o Twitter funcionando parcialmente.

“ZERODIUM no adquiere vulnerabilidades teóricamente explotables o no explotables. Sólo adquirimos vulnerabilidades de día cero con un completo y funcional exploit de una sola etapa o múltiples etapas, por ejemplo exploit de navegador con o sin bypass de sandbox/escape son ambos elegibles “, según la compañía.

 La compañía dice que va a pagar precios más altos por los bugs y exploits que está buscando y no va a comprar a los investigadores que viven en países que son sancionados por las Naciones Unidas o de Estados Unidos. Zerodium no especifica a qué tipo de empresas u organizaciones venderá su servicio, pero Bekrar siempre ha dicho que VUPEN sólo vende sus exploits a los organismos policiales y clientes gubernamentales en los países no sancionados.

“Sólo vendemos a las democracias. Respetamos la normativa internacional, por supuesto, y sólo vendemos a los países de confianza y las democracias de confianza “, dijo Bekrar en una entrevista con Threatpost en 2012.” Nosotros no vendemos a los países opresores. “

VUPEN ofrece un servicio de suscripción que suministra a clientes con datos de vulnerabilidades y exploits de día cero y otros bugs. Los clientes de la compañía han incluido la NSA.

La demanda de las vulnerabilidades de alta gama y hazañas no muestra signos de disminución. Las agencias de inteligencia, las organizaciones policiales y muchas otras agencias gubernamentales en países de todo el mundo están ampliando sus capacidades de seguridad ofensivas y un ingrediente clave en la forma en que estos equipos operan es el uso de días cero. Los exploits para vulnerabilidades reveladas a menudo se utilizan para comprometer los sistemas de destino como parte de las investigaciones policiales y operaciones de inteligencia, una práctica controvertida que se ha vuelto aún más a raíz de la exposición de Hacking Team hace tres semanas.

Leave a Reply