Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
abril
(Total:
42
)
- Resumen Reporte de Kaspersky sobre ataques DDoS Q1...
- La actualización de Windows 10 interrumpe en direc...
- 7 millones de cuentas hackeadas de la comunidad Li...
- Hackeada la base de datos del Banco Nacional de Qatar
- Las ventas del iPhone caen por primera vez en su h...
- Disponible para la venta el nuevo Meizu Pro 5 Ubun...
- La mitad de los adultos británicos no saben distin...
- Mitigación de ataques DDoS Syn Flood con iptables-...
- Error de configuración en MongoDB expone los regis...
- Huawei confirma dos versiones del P9 Lite, fecha d...
- GoAccess es un analizador en tiempo real del log d...
- PenQ: navegador basado en Mozilla Firefox para rea...
- El creador ruso del Exploit Kit Blackhole condenad...
- Microsoft alerta de e-mails con adjuntos malicioso...
- Google presenta Informe anual de Seguridad en Andr...
- Hacker imprime cartel Neo-Nazi a impresoras abiert...
- La policía de Canadá espió más de un millón de men...
- Jornadas X1RedMasSegura 4ª Edición 20 y 21 de Mayo...
- Phineas Fisher explica cómo hackeó a Hacking Team
- La 2 estrena hoy sábado el programa sobre ciberseg...
- EastMadH4ck arranca en Arganda (sureste de Madrid)...
- Etiopía propone cinco años de prisión a quien mand...
- Departamento de Seguridad de Estados Unidos pide a...
- Un hombre borra todos los datos de su empresa al h...
- Presentados los nuevos terminales Meizu Pro 6 y HT...
- Jigsaw, el ransomware que va borrando a tus archiv...
- Google Chrome versión 50 deja sin soporte a Window...
- Cómo evitar que un ransomware cifre los ficheros e...
- Desarolladores de Google crean una API para accede...
- Zerodium, el traficante de exploits que compra vul...
- Tres ejemplos de incidentes reales de acoso utiliz...
- Un fallo informático permite ver el borrador de la...
- La historia detrás de la creación de WhatsApp
- Diferencias velocidad y clases tarjetas de memoria...
- WhatsApp activa el cifrado de extremo a extremo
- Nueva oleada del virus Crypt0l0cker con aviso de C...
- Un padre suplica a Apple para que desbloquee el iP...
- Los enfrentamientos por el peering llegan al IPv6
- Módulo Anti-DDoS para servidor web Nginx
- Herramientas automatizadas para ataques SQL injection
- Gestión de librerías compartidas en GNU/Linux
- Un alumno robó datos de 16.000 personas de la Univ...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Zerodium, el traficante de exploits que compra vulnerabilidades a precio de oro
martes, 12 de abril de 2016
|
Publicado por
el-brujo
|
Editar entrada
Zerodium es una empresa que se dedica a comprar y vender exploits para hackear dispositivos al mejor postor. Sus clientes pasan por agencias de gobierno y grandes empresas
Existe un mercado subterráneo de herramientas para hackear a cualquiera. La Deep Web está llena de mercados negros donde se pueden encargar hacks dirigidos a personas o empresas en particular. Hay lugares en los que se comparten exploits y descubrimientos informáticos de toda índole. Hasta ahora ese espacio estaba reservado sólo a crackers, como no podía ser de otra manera. Ahora las tornas podrían haber cambiado. Podría haber actores externos a este submundo deseando beneficiarse de él, consiguiendo convertirse en algo que podríamos definir como traficantes corporativos de hacks. Este tipo de empresas no son como Hacking Team, que tienen a especialistas en seguridad enrolados para sus fines.
De lo que estamos hablando es de una empresa llamada Zerodium, que ha llegado a ofrecer recompensas millonarias por un exploit zero-day. Después los vende en el mercado abierto de Internet, sin tener que acudir a la Dark Web para comprarlos.
Sus recompensas no se limitan sólo a Apple. El rango de lo que están dispuestos a pagar incluye lo siguiente:
Estamos hablando de un modelo de negocio muy controvertido. Insistimos, lo que Zerodium vende son exploits zero-day, el arma favorita de la guerra cibernética. Se trata de hacks muy poderosos que explotan vulnerabilidades que el desarrollador del sistema, la aplicación o los protocolos de red de una empresa o gobierno no conoce, y no han tenido ningún día para arreglarlos.
Como cabría esperar, desde la compañía se tiene otro punto de vista. Según ellos, lo que pretenden es ayudar a las fuerzas del orden a investigar con mejores herramientas a su disposición.
El CEO de Zerodium ha ido más allá y ha dado ligeros detalles sobre las personas con las que trabajan, diciendo que por ahora se limitan a grandes empresas y organizaciones gubernamentales de Occidente.
.
Google utiliza este programa de recompensas para fortalecer los dispositivos Android, y Facebook ha llegado a pagar 40.000 dólares a quienes descubren un bug. Hasta Uber tiene un programa de recompensas diseñado para hackers, mientras que United Airlines dio a dos expertos en seguridad un millón de millas de vuelo gratis.
Algunos ejemplos Bug Bounty Programs
Estas personas ayudan a que todo el mundo esté más seguro en Internet, mientras que el modelo de negocio de Zerodium sólo protege a sus clientes. Esto está obligando a las tecnológicas a aumentar la cantidad de sus recompensas económicas. Aunque puede no representar un problema para Google o Apple, es algo bastante gordo para las empresas pequeñas que colaboran con algunos de los proyectos de código abierto más populares.
Además, Zerodium no es la única empresa que vende zero-days al mejor postor. Según se recoge, habría otros actores implicados en este negocio. Algunos de ellos son el fabricante de armas Lockheed Martin, la RAND Corporation y la Harris Corporation, que fabrica una herramienta policial de rastreo telefónico conocida como Stingray. Otros como Exodus Intelligence reconocen que ha mantenido algunos zero-days en secreto, de forma que sus clientes puedan usarlo tanto tiempo como sea necesario antes de que se parchee.
Esto podrían considerarse pruebas de comportamiento muy cuestionables, algo muy similar a las razones por las que se atacó a Hacking Team el año pasado. Está empezando una nueva carrera armamentística en el ciberespacio, y da bastante miedo por sus implicaciones. Puedes visitar la página web oficial de Zerodium en este enlace.
Fuente:
http://www.malavida.com/analisis/zerodium-el-traficante-de-exploits-que-compra-vulnerabilidades-a-precio-de-oro-006042
Existe un mercado subterráneo de herramientas para hackear a cualquiera. La Deep Web está llena de mercados negros donde se pueden encargar hacks dirigidos a personas o empresas en particular. Hay lugares en los que se comparten exploits y descubrimientos informáticos de toda índole. Hasta ahora ese espacio estaba reservado sólo a crackers, como no podía ser de otra manera. Ahora las tornas podrían haber cambiado. Podría haber actores externos a este submundo deseando beneficiarse de él, consiguiendo convertirse en algo que podríamos definir como traficantes corporativos de hacks. Este tipo de empresas no son como Hacking Team, que tienen a especialistas en seguridad enrolados para sus fines.
De lo que estamos hablando es de una empresa llamada Zerodium, que ha llegado a ofrecer recompensas millonarias por un exploit zero-day. Después los vende en el mercado abierto de Internet, sin tener que acudir a la Dark Web para comprarlos.
Zerodium ofrece un millón de dólares por hackear un iPhone
Según hemos sabido gracias a CNN, Zerodium ofreció el año pasado un millón de dólares por una puerta trasera que permitiese acceso remoto a un iPhone. Y en noviembre de 2015 apareció un ganador, un equipo de hackers que no ha sido identificado.Consigue el premio de 1 millón de dólares por lograr hackear iOS 9 vía navegador
Sus recompensas no se limitan sólo a Apple. El rango de lo que están dispuestos a pagar incluye lo siguiente:
- 100.000 dólares por hacks para Android y Windows Phone.
- 80.000 dólares para hacks que tengan que ver con Adobe PDF Reader y Adobe Flash.
Estamos hablando de un modelo de negocio muy controvertido. Insistimos, lo que Zerodium vende son exploits zero-day, el arma favorita de la guerra cibernética. Se trata de hacks muy poderosos que explotan vulnerabilidades que el desarrollador del sistema, la aplicación o los protocolos de red de una empresa o gobierno no conoce, y no han tenido ningún día para arreglarlos.
Los zero-days son un arma
Según se recoge, eso es lo que opinan desde la firma de seguridad Zimperium. Vender zero-days en un mercado abierto puede hacer que Internet y los gadgets que usamos a diario sean mucho menos seguros para los usuarios. Que existan empresas como Zerodium, de hecho, no es bueno para el público a largo plazo.Como cabría esperar, desde la compañía se tiene otro punto de vista. Según ellos, lo que pretenden es ayudar a las fuerzas del orden a investigar con mejores herramientas a su disposición.
La historia entre el FBI y Apple muestra el aspecto más interesante del negocio de los zero-day, que es la necesidad de que las agencias gubernamentales accedan a fallos sin parchear para llevar a cabo investigaciones y salvar vidas (Chaouki Bekrar, CEO de Zerodium)La misma persona ha comentado a CNN que la alternativa es mucho peor, y que se traduce en gobiernos exigiendo a las empresas que otorguen acceso ilimitado a cualquier dispositivo a través de una puerta trasera —algo que el FBI ya pidió a Apple a raíz de los incidentes de San Bernardino—. No sé qué opinaréis vosotros, pero esto en mi pueblo es cinismo de manual.
El CEO de Zerodium ha ido más allá y ha dado ligeros detalles sobre las personas con las que trabajan, diciendo que por ahora se limitan a grandes empresas y organizaciones gubernamentales de Occidente.
.
Dear researchers, we've published our full prices/bounties for #0day exploits: https://t.co/M4x12Q9Lar— Zerodium (@Zerodium) 18 de noviembre de 2015
Get big bounties, not bug bounties!
Zerodium contra los cazadores de bugs
Lo que las grandes empresas tecnológicas suelen hacer generalmente para lidiar con estos fallos tan peligrosos es ofrecer recompensas a quienes los descubren. Generalmente se trata de incentivos económicos, que se otorgan como premio a los investigadores que descubren un fallo en un sistema o en una red. De esta manera se consiguen dos cosas: recompensar económicamente a los crackers de forma que no se vea comprometida toda la seguridad de la compañía, y que una tercera persona detecte un fallo por ti que tú solo tendrás que limitarte a solucionar.Google utiliza este programa de recompensas para fortalecer los dispositivos Android, y Facebook ha llegado a pagar 40.000 dólares a quienes descubren un bug. Hasta Uber tiene un programa de recompensas diseñado para hackers, mientras que United Airlines dio a dos expertos en seguridad un millón de millas de vuelo gratis.
Algunos ejemplos Bug Bounty Programs
Estas personas ayudan a que todo el mundo esté más seguro en Internet, mientras que el modelo de negocio de Zerodium sólo protege a sus clientes. Esto está obligando a las tecnológicas a aumentar la cantidad de sus recompensas económicas. Aunque puede no representar un problema para Google o Apple, es algo bastante gordo para las empresas pequeñas que colaboran con algunos de los proyectos de código abierto más populares.
Además, Zerodium no es la única empresa que vende zero-days al mejor postor. Según se recoge, habría otros actores implicados en este negocio. Algunos de ellos son el fabricante de armas Lockheed Martin, la RAND Corporation y la Harris Corporation, que fabrica una herramienta policial de rastreo telefónico conocida como Stingray. Otros como Exodus Intelligence reconocen que ha mantenido algunos zero-days en secreto, de forma que sus clientes puedan usarlo tanto tiempo como sea necesario antes de que se parchee.
Esto podrían considerarse pruebas de comportamiento muy cuestionables, algo muy similar a las razones por las que se atacó a Hacking Team el año pasado. Está empezando una nueva carrera armamentística en el ciberespacio, y da bastante miedo por sus implicaciones. Puedes visitar la página web oficial de Zerodium en este enlace.
Fuente:
http://www.malavida.com/analisis/zerodium-el-traficante-de-exploits-que-compra-vulnerabilidades-a-precio-de-oro-006042
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.