Zimperium anuncia su programa de adquisición de exploits para N-Days

zimperium-eap-post

¿Tu día 0 de un millón de dólares acaba de quemarse y ahora no vale nada? No te preocupes, todavía estamos interesados ​​en tu hazaña. El valor de los 0 días puede variar desde unos pocos miles hasta incluso un millón de dólares para una cadena completa de exploits remotos y muchas empresas y gobiernos están dispuestos a comprarlos. El problema con este enfoque es que sus exploits se utilizan para ataques contra objetivos desconocidos (los investigadores de seguridad, los periodistas de prensa y los activistas son objetivos bien conocidos). Tan pronto como se descubra y corrija la vulnerabilidad, los atacantes sofisticados dejarán de explotar este error y se volverá inútil. Los piratas informáticos profesionales a sueldo intentan no confiar en N días para evitar que los atrapen.

En muchos casos, los compradores de exploits no pagarán el precio total del exploit en caso de que el proveedor solucione la vulnerabilidad.

¿Cuánto vale un día 0 en el último Android o iOS? Posiblemente incluso un millón de dólares por un exploit remoto y genérico. ¿Cuánto vale el mismo día 0 un mes después de que se corrigió el error? A veces tan bajo como cero dólares. En nuestros esfuerzos por promover la aplicación de parches en los dispositivos móviles, buscamos cambiar este proceso y ayudar a empresas e investigadores por igual. Ahora ofrecemos un programa de compra para exploits N-Days.

Es sencillo. Compraremos exploits remotos o locales dirigidos a cualquier versión que no sea la última versión de iOS y Android.

El exploit se lanzará primero para Alianza de teléfonos Zimperium (ZHA) socios. ZHA incluye más de 30 de los proveedores de teléfonos y operadores más conocidos. Entre nuestros socios ZHA puede encontrar: Samsung, Softbank, Telstra y Blackberry. La lista completa está disponible solo para los contactos de seguridad dentro de los transportistas y proveedores.

Proporcionaremos a los socios de ZHA un aviso previo de uno a tres meses, antes de lanzar el exploit públicamente (a diferencia de la mayoría de los programas de adquisición de exploits). No publicaremos estos exploits si el autor lo solicita. Nos gustaría alentar a los investigadores de seguridad a proporcionar pruebas para la explotación de vulnerabilidades conocidas y, al mismo tiempo, recibir un pago por el trabajo anterior. Múltiples socios de ZHA nos explicaron que sin prueba de explotabilidad, es difícil convencer a los equipos de seguridad para que asignen los recursos necesarios para un ciclo completo de parches, incluso para problemas conocidos. Esperamos que este programa anime a más investigadores a buscar actualizaciones de seguridad mensuales y promueva mejores parches.

Preguntas más frecuentes

¿Qué hará Zimperium con los exploits?

Nuestro plan es utilizar los exploits para mejorar nuestro motor z9. Hasta ahora, nuestro motor z9 detectó todas las vulnerabilidades del kernel disponibles públicamente lanzadas en los últimos años, sin necesidad de una actualización. Como proveedor de seguridad móvil, es obvio que debemos admitir los dispositivos más recientes, pero en implementaciones grandes y decenas de millones de usuarios, también debemos proporcionar compatibilidad con versiones anteriores e identificar ataques en dispositivos que incluso los proveedores de dispositivos ya no admiten. (por ejemplo: Android 4.1). En tales escenarios, los usuarios ni siquiera tienen la opción de actualizar su teléfono. Para nosotros, admitir dispositivos antiguos es una decisión clave para ayudar a los consumidores donde la política de actualización ha fallado.

¿Por qué estás comprando N-días?

La investigación y explotación de seguridad está en nuestro corazón y es lo que llevó a Zimperium a este punto. Apreciamos el arte de la explotación y apreciamos los trucos geniales para escribir un desarrollo de explotación, eludir ASLR/KASLR, lograr persistencia, etc. Humildemente creemos que podemos aprender de cualquier explotación y, como resultado, ofrecer una mejor seguridad para nuestros clientes y socios.

¿También planea comprar 0 días?

No.

¿Lanzarás el exploit?

Sí, a menos que el autor lo solicite explícitamente. Nuestro objetivo es ayudar a la comunidad, a los evaluadores de penetración, a los administradores de TI y de movilidad a evaluar mejor su seguridad y proteger sus dispositivos.

¿Darás crédito por el desarrollador del exploit?

Sí, a menos que se le pida permanecer en el anonimato.

¿Cuáles son los métodos de pago?

Podemos hacer una transferencia electrónica o PayPal.

¿Cuánto se asignará para el EAP Zimperium N-Days?

Asignaremos 1,5 millones de dólares estadounidenses para este programa.

¿Cómo decidirá qué exploit se compra y por cuánto?

Un comité de explotación formado por miembros seleccionados de zLabs decidirá cuánto ofrecer por cada explotación de N-Day. Los exploits remotos son incluso más valiosos que los locales, pero todo depende del error exacto (y la belleza del exploit).

¿Qué tipo de errores estamos buscando?

  1. Hazañas remotas
  2. Hazañas locales
  3. Vulnerabilidades de divulgación de información
  4. Se pueden aplicar otras vulnerabilidades, pero deben describirse en el correo electrónico

¿Como funciona?

Envíenos una nota a [email protected] (clave PGP a continuación).

  1. Describir el exploit
  2. ¿Cuándo fue parcheado? (que CVE)
  3. ¿Cómo funciona la cadena de explotación?
  4. ¿Desea publicar el código después de que lo verifiquemos en nuestros laboratorios? si es así, ¿le gustaría recibir crédito por ello? Si no se proporciona (4), el valor predeterminado es sí.

Luego verificaremos su envío y le proporcionaremos una cotización que contenga nuestra oferta. Una vez que acepte los términos, enviaremos el pago.

[email protected] – clave pública

—–COMENZAR EL BLOQUE DE CLAVE PÚBLICA DE PGP—–
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=8JuZ
—–FIN DEL BLOQUE DE CLAVE PÚBLICA PGP—–

Deja un comentario