Quanto si è disposti a pagare per un codice che potrebbe compromettere a distanza un iPhone? Abbiamo dato un’occhiata al nuovo listino prezzi di Zerodium
Spesso parliamo di zero-day exploit, ovvero di codici in grado di sfruttare falle non note alla comunità scientifica al tempo dell’attacco e che per questo hanno altissime probabilità di successo.
Abbiamo discusso in passato del valore di questi zero-day exploit e del fiorente mercato intorno ad essi.
Questi codici sono estremamente preziosi, e tra i principali acquirenti vi sono senza alcun dubbio agenzie di intelligence e forze dell’ordine che le utilizzano rispettivamente per operazioni di spionaggio/sabotaggio ed investigazione.
Ma quale è il prezzo di questi codici? Quanto si è disposti a pagare per la conoscenza di queste vulnerabilità?
Da buon ingegnere rispondo “dipende,” infatti molteplici fattori influenzano il prezzo di uno zero-day exploit. Ad esempio, la conoscenza di una falla in sistema di larga diffusione, come un iPhone, ha valore superiore rispetto a sistemi poco diffusi.
Ed ancora, il codice per sfruttare una falla in un sistema SCADA o ICS utilizzato in infrastrutture critiche potrebbe avere un prezzo da capogiro, un governo infatti potrebbe essere disposto a spendere una fortuna per poter acquisire i codici ed utilizzarli secondo necessità e per differenti scopi.
Il listino prezzi di Zerodium
Premesso ciò, per farci un’idea dei costi di uno zero-day exploit leggeremo insieme il listino prezzo dell’azienda Zerodium, un broker specializzato nella compravendita di questa tipologia di codici. Zerodium acquista zero-day exploit per rivenderli ai suoi clienti, ufficialmente enti governativi, anche se molti esperti temono che gli stessi possano finire nelle mani di stati guidati da dittatori.
Zerodium ha recentemente annunciato che pagherà fino a 2 milioni di dollari per il codice di jailbreak del sistema iOS di Apple. Il codice deve poter essere utilizzato in remoto e non deve richiedere alcuna interazione da parte dell’utente. Vale a dire, compro un codice in grado di comprometterti l’iPhone a distanza senza che la vittima se ne accorga. Le precedenti offerte della stessa azienda per questo tipo di exploit erano di $ 1,5 milioni.
Ecco il listino
I prezzi sono in crescita
Zerodium ha anche raddoppiato l’importo pagato per falle che consentono di compromettere in remoto alcune popolari applicazioni di messaggistica come WhatsApp, iMessage o SMS / MMS. Il costo di uno zero-day exploit per queste applicazioni è passato da $ 500.000 a $ 1 milione.
L’azienda è disposta a pagare per falle nei browser Chrome su Android e Safari su iOS $ 500.000. Gli exploit per entrambi i browser Web includono l’esecuzione di codice in remota, l’escalation dei privilegi, e il bypass del meccanismo di sicurezza noto come “sandbox”.
Continuando nella nostra lettura notiamo che Zerodium offre fino a $ 100.000 per tecniche di bypass locale di PIN o TouchID per dispositivi Android e iOS, l’offerta è aumentata di $ 85.000 rispetto alla precedente.
Zerodium ha aumentato di $ 100.000 l’importo per exploit che consentano di eseguire codice in modalità remota in Outlook, Microsoft Exchange Server, PHP, e OpenSSL.
Le ricompense per gli exploit per Windows tramite protocolli SMB o RDP senza interazione dell’utente sono raddoppiate, raggiungendo $ 1 milione.
Anche i pagamenti per gli zero-day exploit di Chrome, Apache e Microsoft IIS sono raddoppiati e ora sono $ 500.000.
Falle sempre più complesse e un mercato in crescita
È chiaro che le cifre menzionate sono indicative di un mercato in crescita che non conosce crisi. Aumentano le premialità perché le falle sono sempre più complesse da trovare ed al tempo stesso estremamente richieste.
Per evitare che queste falle siano scoperte da hacker e ricercatori, un numero crescente di aziende investe in programmi di bug bounty, ovvero offre ricompense a coloro che segnalano falle nei loro software o hardware.
Il problema reale è che le cifre offerte per queste falle segnalate all’interno di programmi di bug bounty sono un decimo se non un centesimo di quelle offerte da broker zero-day come Zerodium. Ciò significa che un ricercatore che trova una falla in un sistema come iPhone potrebbe essere incentivato a non rivelare la stessa all’azienda, ma a tentarne la vendita ad uno zero-day broker.
Chiaramente tutto ciò non giova alla comunità ed a beneficiarne potrebbero essere solo pochi attori interessati al profitto.
