Iniciativa del día cero

Adquisición internacional de vulnerabilidades de software

Zero Day Initiative (ZDI) es una iniciativa internacional de vulnerabilidad de software que fue iniciada en 2005 por TippingPoint , una división de 3Com . ^[1] El programa fue adquirido por Trend Micro como parte de la adquisición de HP TippingPoint en 2015. ^[2]

ZDI compra diversas vulnerabilidades de software a investigadores de seguridad independientes y luego revela estas vulnerabilidades a sus proveedores originales para que las parcheen antes de hacer pública dicha información.

Historia

ZDI fue creado el 25 de julio de 2005 por TippingPoint y fue liderado inicialmente por David Endler y Pedram Amini. ^[3] El " día cero " en el nombre de ZDI se refiere a la primera vez, o Día Cero, cuando un proveedor se da cuenta de una vulnerabilidad en un software específico. El programa fue lanzado para dar recompensas en efectivo a los investigadores de vulnerabilidades de software y piratas informáticos si demostraban encontrar vulnerabilidades en cualquier variedad de software. Debido a la falta de incentivos y a las preocupaciones de seguridad y confidencialidad , los investigadores y piratas informáticos a menudo se ven disuadidos de acercarse a los proveedores cuando encuentran vulnerabilidades en su software. ZDI fue creado como un programa de terceros para recopilar e incentivar la búsqueda de dichas vulnerabilidades, al mismo tiempo que se protege tanto a los investigadores como a la información confidencial detrás de las vulnerabilidades. ^[3]

Los colaboradores de ZDI han encontrado vulnerabilidades de seguridad en productos como Firefox 3 , ^[4] Microsoft Windows , ^[5] QuickTime para Windows, ^[6] y en una variedad de productos de Adobe . ^{[7] [8]}

ZDI también realiza investigaciones internas en busca de vulnerabilidades y ha encontrado muchas en productos de Adobe, ^[9] productos de Microsoft, ^{[10] [11] [12]} productos de VMware , ^[13] y Oracle Java . ^{[14] [15]}

En 2016, ZDI fue el principal proveedor externo de errores tanto para Microsoft como para Adobe, habiendo "comprado y revelado el 22% de las vulnerabilidades de Microsoft descubiertas públicamente y el 28% de las vulnerabilidades reveladas públicamente encontradas en el software de Adobe". ^[16]

ZDI también organiza la competición de hackers Pwn2Own , que se celebra tres veces al año ^[17] , donde los equipos de hackers pueden llevarse a casa premios en efectivo y dispositivos de software y hardware que hayan explotado con éxito.

Compra de exploits

Se han recibido críticas sobre la venta de vulnerabilidades de software, así como sobre las entidades que compran dichas vulnerabilidades. Aunque la práctica es legal, la ética de la misma siempre está en tela de juicio. La mayoría de los críticos están preocupados por lo que puede suceder con las vulnerabilidades de software una vez que se venden. ^[18] Los piratas informáticos y los investigadores que encuentran fallas en el software pueden vender esas vulnerabilidades a agencias gubernamentales, empresas de terceros, en el mercado negro o a los propios vendedores de software.

El valor justo de mercado y el valor en el mercado negro de los exploits de software difieren enormemente (a menudo varían en decenas de miles de dólares), ^[19] al igual que las implicaciones para la compra de vulnerabilidades de software. Esta combinación de preocupaciones ha llevado al surgimiento de programas de terceros como ZDI y otros como lugares para informar y vender vulnerabilidades para investigadores de seguridad. ^[19]

ZDI recibe solicitudes de información sobre vulnerabilidades como ejecución remota de código , elevación de privilegios y divulgación de información, pero "no compra todo tipo de errores, incluidos los de secuencias de comandos entre sitios (XSS) que dominan muchos programas de recompensas por errores". ^[16]

Referencias

1. "Un mercado dinámico, legal y no, para los errores de software". The New York Times . 30 de enero de 2007. Archivado desde el original el 9 de noviembre de 2020 . Consultado el 21 de octubre de 2020 .
2. "Trend Micro adquirirá HP TippingPoint por 300 millones de dólares". CRN. 21 de octubre de 2015. Consultado el 21 de junio de 2021 .
3. "Los grupos discuten sobre los méritos de las recompensas por fallas". Security Focus. 5 de abril de 2006. Archivado desde el original el 2 de febrero de 2021. Consultado el 21 de octubre de 2020 .
4. "Zero Day Initiative encuentra la primera vulnerabilidad en Firefox 3". Wired . 19 de junio de 2008. Archivado desde el original el 29 de octubre de 2020 . Consultado el 21 de octubre de 2020 .
5. "Stuxnet Redux: Microsoft corrige una vulnerabilidad de Windows que estuvo abierta durante CINCO AÑOS". The Register. 10 de marzo de 2015. Archivado desde el original el 28 de octubre de 2020. Consultado el 21 de octubre de 2020 .
6. "¿Por qué QuickTime para Windows llegó al final de su vida útil de forma tan abrupta?". TechTarget. Archivado desde el original el 2 de diciembre de 2020. Consultado el 21 de octubre de 2020 .
7. "Detengan la locura de Flash: 5 errores por semana". Computer Weekly. 16 de agosto de 2015. Archivado desde el original el 8 de noviembre de 2020. Consultado el 21 de octubre de 2020 .
8. "Actualizaciones de seguridad disponibles para Adobe Acrobat y Reader". Adobe. 11 de diciembre de 2015. Archivado desde el original el 25 de mayo de 2020. Consultado el 21 de octubre de 2020 .
9. "Abordar la escalada de privilegios con ataque y defensa". Black Hat. Archivado desde el original el 19 de noviembre de 2020. Consultado el 21 de octubre de 2020 .
10. "Microsoft otorga a los investigadores de HP una recompensa de 125.000 dólares por errores". ZD Net. 5 de febrero de 2015. Archivado desde el original el 29 de septiembre de 2020. Consultado el 21 de octubre de 2020 .
11. "Se ha publicado un código de explotación para una falla de Internet Explorer sin parchear". ZD Net. 22 de junio de 2015. Archivado desde el original el 8 de noviembre de 2020. Consultado el 21 de octubre de 2020 .
12. "Abuso de mitigaciones silenciosas: comprensión de las debilidades de Internet Explorer". Black Hat. 29 de diciembre de 2015. Consultado el 21 de octubre de 2020 .
13. "T302 VMware Escapology Cómo hacer de Houdini el hipervisor AbdulAziz Hariri Joshua Smith". Adrian Crenshaw. 22 de septiembre de 2017. Archivado desde el original el 16 de febrero de 2021. Consultado el 21 de octubre de 2020 .
14. "Black Hat USA 2013 - Java Every-Days: Exploiting Software Running on 3 Billion Devices". Black Hat. 3 de diciembre de 2013. Archivado desde el original el 16 de febrero de 2021. Consultado el 21 de octubre de 2020 .
15. "Investigadores analizan la falla de Oracle WebLogic bajo ataque". Dark Reading. 11 de mayo de 2020. Archivado desde el original el 31 de octubre de 2020. Consultado el 21 de octubre de 2020 .
16. "Dentro de uno de los programas de recompensas por errores más grandes del mundo". Computer Weekly. 9 de julio de 2018. Archivado desde el original el 20 de septiembre de 2020. Consultado el 21 de octubre de 2020 .
17. "El concurso Pwn2Own pagará 900.000 dólares a los hackers que exploten este Tesla". Ars Technica. 14 de enero de 2019. Archivado desde el original el 7 de noviembre de 2020. Consultado el 21 de octubre de 2020 .
18. "Comprando Zero-Days: Una lista de precios para los exploits de software secretos de los hackers". Forbes . 23 de marzo de 2012. Archivado desde el original el 14 de marzo de 2014 . Consultado el 21 de octubre de 2020 .
19. "Las ventas de día cero no son 'justas' - para los investigadores". The Register. 3 de junio de 2007. Archivado desde el original el 16 de febrero de 2021. Consultado el 21 de octubre de 2020 .

Enlaces externos

• Sitio web oficial