El mercado de exploits de día cero se refiere a la actividad comercial que ocurre en torno al tráfico de exploits de software .
Introducción
Las vulnerabilidades y los " exploits " del software se utilizan para obtener acceso remoto tanto a la información almacenada como a la información generada en tiempo real. Cuando la mayoría de la gente usa el mismo software , como es el caso en la mayoría de los países en la actualidad, dada la naturaleza monopólica de los proveedores de servicios y contenido de Internet, una vulnerabilidad específica puede usarse contra miles, si no millones de personas. En este contexto, los delincuentes se han interesado por estas vulnerabilidades. Un informe de 2014 del Centro de Estudios Estratégicos e Internacionales de McAfee estima que el costo del ciberdelito y el ciberespionaje ronda los 160.000 millones de dólares al año. [1] En todo el mundo, los países han designado instituciones públicas para abordar este problema, pero es probable que entren en conflicto con el interés de su propio gobierno de acceder a la información de las personas para prevenir el crimen. [2] Como resultado, tanto las agencias de seguridad nacional como los criminales ocultan ciertas vulnerabilidades de software tanto a los usuarios como al desarrollador original. Este tipo de vulnerabilidad se conoce como exploit de día cero .
Mucho se ha hablado en el mundo académico y en los medios de comunicación habituales sobre la regulación de los exploits de día cero en el mercado. Sin embargo, es muy difícil llegar a un consenso porque la mayoría de las definiciones de exploits de día cero son bastante vagas o no se aplican, ya que solo se puede definir el uso de cierto software como malware después de que se haya utilizado. [2] Además, existe un conflicto de intereses dentro de las operaciones del Estado que podría impedir una regulación que obligue a la divulgación de los días cero. Los gobiernos se enfrentan a una disyuntiva entre proteger la privacidad de sus ciudadanos mediante la denuncia de vulnerabilidades a empresas privadas, por un lado, y socavar las tecnologías de comunicación utilizadas por sus objetivos, que también amenazan la seguridad del público, por el otro. [3] La protección de la seguridad nacional mediante la explotación de vulnerabilidades de software desconocidas tanto para las empresas como para el público es un recurso fundamental para las agencias de seguridad, pero también compromete la seguridad de cada usuario porque cualquier tercero, incluidas las organizaciones criminales, podría estar haciendo uso de el mismo recurso. [4] Por lo tanto, solo los usuarios y las empresas privadas tienen incentivos para minimizar los riesgos asociados con los exploits de día cero; el primero para evitar una invasión de la privacidad y el segundo para reducir los costos de las violaciones de datos. Estos incluyen procesos legales, costos relacionados con el desarrollo de soluciones para reparar o "parchear" la vulnerabilidad original en el software y costos asociados con la pérdida de confianza de los clientes en el producto. [5]
Descripción
Ablon, Libicki y Golay [6] han explicado en gran medida el funcionamiento interno del mercado de día cero. Los principales resultados se pueden dividir en cinco componentes: productos básicos, divisas, mercado, oferta y demanda. Se describirán estos componentes y su relación con los precios. La definición dada al componente de demanda también será cuestionada porque es primordial comprender la naturaleza de los mercados (es decir, blanco, gris y negro) y su regulación o falta de ella.
Mercancía
Los exploits son productos digitales, lo que significa que son bienes de información con costos de producción marginales casi nulos. [7] Sin embargo, son bienes de información atípicos. A diferencia de los libros electrónicos o los videos digitales, no pierden su valor porque son fáciles de replicar, pero debido al hecho de que una vez que están expuestos, el desarrollador original "parcheará" la vulnerabilidad, disminuyendo el valor de la mercancía. El valor no irá a cero por dos razones: (1) la distribución del parche es asimétrica y (2) los desarrolladores podrían usar el error original para crear una variante a un costo menor. También son atípicos porque son productos sensibles al tiempo. Las empresas actualizan su software de forma regular y un parche solo es útil durante el lapso entre versiones; a veces, una vulnerabilidad puede corregirse sin ningún informe externo. En tercer lugar, incluso en transacciones confidenciales, el uso del exploit en sí mismo puede crear una disfunción en el extremo del usuario, exponiendo la vulnerabilidad y provocando su pérdida de valor. En este sentido, los exploits no son excluibles, pero pueden o no ser rivales.
Divisa
En la mayoría de los casos, las transacciones generalmente están diseñadas para proteger la identidad de al menos una de las partes involucradas en el intercambio. Si bien esto depende del tipo de mercado (los mercados blancos pueden usar dinero rastreable), la mayoría de las compras se realizan con fondos digitales robados (tarjetas de crédito) y criptomonedas . Si bien esta última ha sido la tendencia dominante en los últimos años, los precios en el mercado gris se establecen en dólares, como lo demuestran las filtraciones del archivo de correo electrónico de Hacking Team . [8]
Mercado
Clásicamente, los mercados negros —como las armas ilegales o los narcóticos— requieren una enorme red de partes confiables para realizar las transacciones de negociación, falsificación de documentos, transferencias financieras y transporte ilícito, entre otras. Como es muy difícil hacer cumplir cualquier acuerdo legal dentro de estas redes, muchas organizaciones criminales reclutan miembros cerca de casa. [9] Este elemento de proximidad aumenta el costo de la transacción, ya que se requieren más intermediarios para las transacciones transnacionales, lo que disminuye la ganancia general del vendedor original.
Los días cero, por otro lado, son productos virtuales y se pueden vender fácilmente sin intermediarios a través de Internet, ya que las tecnologías disponibles son lo suficientemente fuertes como para proporcionar anonimato a un costo muy bajo. Incluso si se necesitan intermediarios, se pueden utilizar "mulas de datos involuntarias" para evitar cualquier evidencia de irregularidades. [10] Esta es la razón por la que el mercado negro es tan lucrativo en comparación con los mercados grises . Los mercados grises, que involucran transacciones con instituciones públicas a cargo de la seguridad nacional, generalmente requieren el uso de terceros para ocultar los rastros de sus transacciones. El archivo de Hacking Team, por ejemplo, contiene supuestos contratos con la Secretaría Nacional de Inteligencia de Ecuador donde utilizaron dos intermediarios: Robotec y Theola. En el mismo archivo, se dice que las empresas de terceros Cicom y Robotec negociaron los contratos en nombre del FBI y la DEA respectivamente. [11] Es menos probable que los mercados blancos se enfrenten al mismo problema ya que no les interesa ocultar la transacción, es todo lo contrario porque las empresas promueven activamente el uso de sus nuevos parches.
Suministro
La cadena de suministro es compleja e involucra a múltiples actores organizados por jerarquías, donde los administradores se sientan en la parte superior, seguidos por los expertos técnicos. Luego están los intermediarios, corredores y vendedores que pueden o no pueden ser sofisticados, seguidos finalmente por mulas ingeniosas. Dentro de esta cadena de mando, se pueden encontrar múltiples productos. Mientras que los exploits de día cero pueden ser "encontrados" o desarrollados únicamente por expertos en la materia, otros exploits pueden ser comercializados fácilmente por casi cualquier persona que desee ingresar al mercado negro. Hay dos razones para esto. En primer lugar, algunos dispositivos utilizan software obsoleto o obsoleto y pueden ser atacados fácilmente por exploits que de otro modo serían completamente inútiles. En segundo lugar, estos "exploits de medio día" [12] se pueden usar a través de interfaces gráficas y aprender a través de tutoriales disponibles gratuitamente, lo que significa que se requiere muy poca experiencia para ingresar al mercado como vendedor.
La coexistencia de los mercados de día cero y de medio día influye en la resistencia del mercado negro, ya que los desarrolladores siguen avanzando hacia el extremo más sofisticado. Si bien ha aumentado la eliminación de la alta delincuencia organizada, los proveedores son fácilmente reemplazados por personas en los niveles más bajos de la pirámide. Puede tomar menos de un día encontrar un nuevo proveedor después de una operación de desmontaje que fácilmente puede durar meses.
Llegar a la cima, sin embargo, requiere conexiones personales y una buena reputación, en esto el mercado negro digital no es diferente del físico. Los exploits de medio día generalmente se comercializan en lugares de más fácil acceso, pero los días cero a menudo requieren subastas "doble ciego" y el uso de múltiples capas de cifrado para evadir la aplicación de la ley. Esto no se puede hacer en foros o tableros, por lo que estas transacciones ocurren en espacios extremadamente examinados.
Demanda
Quién compra exploits de día cero define el tipo de mercado con el que nos enfrentamos. Afidler [4] diferencia entre los mercados blanco, gris y negro siguiendo la metodología de dimensionamiento del mercado de Harvard Business School como guía. Aquí diferencian entre mercados blancos, mercados grises y mercados negros.
Los mercados blancos son aquellos en los que los desarrolladores originales recompensan a los investigadores de seguridad por informar de las vulnerabilidades. En promedio, los precios reportados hasta 2014 fueron menos de diez mil dólares, pero se hicieron ofertas especiales de hasta $ 100,000 para ciertas vulnerabilidades basadas en el tipo, criticidad y naturaleza del software afectado. [13] El catorce por ciento de todas las vulnerabilidades de Microsoft, Apple y Adobe en los últimos diez años vinieron a través de programas del mercado blanco. [14]
Los criminales compran en el mercado negro; sin embargo, los gobiernos pueden ser compradores ocasionales si su oferta no puede ser satisfecha en el mercado gris o si encuentran impedimentos para adquirir días cero debido a regulaciones internacionales. Hacking Team afirma en su sitio web que "no venden productos a gobiernos ni a países incluidos en la lista negra de EE. UU., La UE, la ONU, la OTAN o la ASEAN", aunque se ha descubierto que infringen su propia política. Los precios suelen ser de 10 a 100 veces más altos en este mercado en comparación con el mercado blanco [6] y esto cambia según la ubicación del comprador; Estados Unidos es el lugar donde se ofrecen los mejores precios. Los vendedores potenciales a los que no se les permite vender en territorios específicos, como Cuba y Corea del Norte en el caso de Estados Unidos, probablemente también operen en el mercado negro.
Los compradores de los mercados grises incluyen clientes del sector privado, gobiernos y corredores que revenden vulnerabilidades. La información sobre estos mercados solo está disponible a través de solicitudes de información confidencial de los gobiernos, donde el precio generalmente se redacta por motivos de seguridad y la información se filtra tanto de agencias de seguridad nacional como de empresas privadas (es decir, FinFisher y Hacking Team).
Tsyrklevich informó sobre las transacciones realizadas por Hacking Team. [8] Hasta la fecha, esto representa la mejor evidencia disponible sobre el funcionamiento interno del mercado gris. Sin embargo, es probable que algunos de estos procedimientos también se apliquen tanto en el mercado blanco como en el negro:
Los compradores siguen las prácticas de compra de tecnología estándar en torno a las pruebas, la entrega y la aceptación. Las negociaciones de garantía y requisitos se vuelven necesarias en la compra de un producto que se basa intrínsecamente en la existencia de asimetría de información entre el comprador y el vendedor. Los requisitos, como las configuraciones de software específicas, son importantes para negociar con anticipación porque agregar soporte para nuevos objetivos puede ser imposible o no vale la pena el esfuerzo. Del mismo modo, las disposiciones de garantía para los compradores son comunes para que puedan minimizar el riesgo al repartir los pagos en un período de tiempo establecido y cancelar los pagos antes de tiempo si se repara la vulnerabilidad antes de que se complete ese período de tiempo. Por lo general, los pagos se realizan después de que se haya entregado un exploit de 0 días y se haya probado según los requisitos, lo que requiere que los vendedores confíen en que los compradores actúen de buena fe. Del mismo modo, los compradores que compran exploits deben confiar en que los vendedores no expondrán la vulnerabilidad ni la compartirán con otros si se vende de forma exclusiva.
- Vlad Tsyrklevich, Hacking Team: un estudio de caso de mercado de día cero, https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/
Controversias
Por lo general, las partes que se oponen a los mercados grises son los minoristas del artículo en el mercado, ya que daña sus ganancias y reputación. Como resultado, suelen presionar al fabricante original para que ajuste los canales oficiales de distribución. El estado también juega un papel importante en la aplicación de sanciones en caso de infracción de la ley. Sin embargo, el mercado de explotación de día cero es atípico y la forma en que opera está más cerca del funcionamiento del mercado negro. Los corredores y los programas de recompensas, que podrían verse como minoristas de días cero, no tienen ningún control sobre los productores originales de lo "malo", ya que son descubiertos de forma independiente por diferentes actores, a menudo anónimos. No les interesa cambiar el canal de distribución, ya que pueden beneficiarse tanto del mercado blanco como del gris, teniendo mucho menos riesgo en el primero.
Los estados, que suelen complementar la labor de los fabricantes originales para restringir los mercados grises, desempeñan un papel diferente en el mercado de día cero, ya que son compradores habituales de exploits. Dada la naturaleza reservada de la seguridad de la información, no les interesa revelar información sobre vulnerabilidades de software, ya que su interés está, en este caso, alineado con el de los delincuentes que buscan infiltrarse en dispositivos y adquirir información de objetivos específicos. Se puede argumentar que la presencia de agencias de inteligencia como consumidores de este "mal" podría aumentar aún más el precio de los días cero, ya que los mercados legítimos brindan poder de negociación a los vendedores del mercado negro. [5]
Finalmente, las empresas privadas no están dispuestas a subir los precios de sus recompensas a los niveles alcanzados en los mercados gris y negro, argumentando que no son sostenibles para los mercados defensivos. [15] Estudios anteriores han demostrado que los programas de recompensas son más rentables para las empresas privadas en comparación con la contratación de investigadores de seguridad internos, [16] pero si el premio de las recompensas sigue aumentando, puede que ya no sea así.
En 2015, Zerodium , una nueva puesta en marcha centrada en la adquisición de "vulnerabilidades de alto riesgo", anunció su nuevo programa de recompensas. Publicaron los formatos requeridos para los envíos de vulnerabilidades, sus criterios para determinar los precios (la popularidad y complejidad del software afectado y la calidad del exploit enviado) y los precios mismos. Esto representa una mezcla de la transparencia que ofrece el programa tradicional de recompensas por vulnerabilidad y las altas recompensas ofrecidas en los mercados gris y negro. [17] Las empresas de desarrollo de software percibieron este nuevo enfoque como una amenaza, principalmente debido al hecho de que las recompensas muy altas podrían hacer que los empleados de desarrolladores y probadores dejen sus trabajos diarios. [15] Sin embargo, aún no se han definido sus efectos en el mercado.
La NSA fue criticada por comprar y almacenar vulnerabilidades de día cero, mantenerlas en secreto y desarrollar principalmente capacidades ofensivas en lugar de ayudar a parchear las vulnerabilidades. [18] [19] [20] [21]
Ver también
- Programa de recompensas por errores
- Ciberdelito
- Contramedidas contra el ciberdelito
- Industria de armas cibernéticas
- Duqu
- Industria de vigilancia masiva
- stuxnet
- Capitalismo de vigilancia
- Defensa cibernética proactiva
Referencias
- ^ Pérdidas, N. (2014). Estimación del costo global de la ciberdelincuencia. McAfee, Centro de Estudios Estratégicos e Internacionales.
- ↑ a b Bellovin, SM, Blaze, M., Clark, S. y Landau, S. (2014). Lícita la piratería : El uso de las vulnerabilidades existentes para las escuchas telefónicas en Internet. Noroeste. J. Tech. & Intell. Prop., 12, i.
- ^ Choi, JP, Fershtman, C. y Gandal, N. (2010). Seguridad de la red: Vulnerabilidades y política de divulgación *. The Journal of Industrial Economics, 58 (4), 868-894.
- ↑ a b Afidler, M., Granick, J. y Crenshaw, M. (2014). Anarchy or Regulation: Controlling The Global Trade in Zero-Day Vulnerabilities (Tesis doctoral, Tesis de maestría. Universidad de Stanford, URL: https://stacks.stanford.edu/file/druid:zs241cm7504/Zero-Day%20Vulnerability%20Thesis%20by % 20Fidler.pdf ).
- ↑ a b Radianti, J., Rich, E. y Gonzalez, JJ (2009, enero). Mercados negros de vulnerabilidad: evidencia empírica y simulación de escenarios. En System Sciences, 2009. HICSS'09. 42ª Conferencia Internacional de Hawái sobre (págs. 1-10). IEEE.
- ↑ a b Ablon, L., Libicki, MC y Golay, AA (2014). Mercados de herramientas de ciberdelincuencia y datos robados: el bazar de los piratas informáticos. Rand Corporation.
- ^ Chappell, HW, Guimaraes, P. y Demet Öztürk, O. (2011). Confesiones de un monopolista de Internet: estimación de la demanda de un bien de información versionada. Economía de la gestión y las decisiones, 32 (1), 1-15.
- ↑ a b Tsyrklevich, V. (22 de julio de 2015). Hacking Team: un estudio de caso de mercado de día cero. Obtenido el 20 de octubre de 2015 de https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/
- ^ Kinsella, D. (2006). El mercado negro de armas pequeñas: examinando una red social. Política de seguridad contemporánea, 27 (01), 100-117.
- ^ Appelbaum, J., Gibson, A., Guarnieri, C., Muller-Maguhn, A., Poitras, L., Rosenbach, M. y Schmundt, HM Sontheimer, "La carrera armamentista digital: NSA prepara América para el futuro Battle ", Spiegel Online, enero de 2015.
- ^ González, E. (30 de julio de 2015). Explicación: alcance del equipo de piratería en las Américas. Obtenido el 4 de diciembre de 2015 de http://www.as-coa.org/articles/explainer-hacking-teams-reach-americas-0
- ^ Los exploits de medio día (también conocidos como exploits de uno o dos días) son aquellos en los que el creador del software puede conocer la vulnerabilidad y puede haber un parche disponible, pero pocos usuarios conocen e implementan esos parches.
- ^ Duebendorfer, T. y Frei, S. (2009). Por qué las actualizaciones silenciosas aumentan la seguridad. TIK, ETH Zúrich, Tech. Rep, 302.
- ^ Fidler, Mailyn. "Regulación del comercio de vulnerabilidad de día cero: un análisis preliminar". Revista de derecho y política para la sociedad de la información .
- ↑ a b Hackett, R. (21 de septiembre de 2015). Se buscan jailbreak: trucos de iPhone de 1 millón de dólares . Consultado el 5 de diciembre de 2015
- ^ Finifter, M., Akhawe, D. y Wagner, D. (2013, agosto). Un estudio empírico de los programas de recompensas por vulnerabilidad. En USENIX Security (Vol. 13).
- ^ En noviembre del mismo año, la firma anunció que pagó un millón de dólares como recompensa por un exploit de iOS9, sin embargo, existe un escepticismo generalizado sobre la veracidad de dicho informe. Zerodium no funciona con desarrolladores originales y aún no ha revelado nada específico sobre el supuesto exploit de iOS9.
- ^ Schneier, Bruce (24 de agosto de 2016). "Nuevas filtraciones lo demuestran: la NSA nos pone a todos en riesgo de ser pirateados" . Vox . Consultado el 5 de enero de 2017 .
- ^ "Cisco confirma que zeroday vinculado a la NSA apuntó a sus firewalls durante años" . Ars Technica . Consultado el 5 de enero de 2017 .
- ^ Greenberg, Andy. "El lío de los corredores de la sombra es lo que sucede cuando la NSA acumula días cero" . CON CABLE . Consultado el 5 de enero de 2017 .
- ^ "Es probable que Trump retenga el programa de vulnerabilidad de piratería" . Bloomberg BNA. Archivado desde el original el 5 de enero de 2017 . Consultado el 5 de enero de 2017 .