Zero Day Initiative (ZDI) es una iniciativa internacional de vulnerabilidad de software que se inició en 2005 por TippingPoint , una división de 3Com . [1]
Tipo | Programa de vulnerabilidad de software |
---|---|
Industria | La seguridad cibernética |
Fundado | 25 de julio de 2005 |
Dueño | Trend Micro |
Sitio web | www |
ZDI compra varias vulnerabilidades de software a investigadores de seguridad independientes y luego las revela a sus proveedores originales para que las parcheen antes de hacer pública dicha información.
Historia
ZDI se inició el 25 de julio de 2005 por TippingPoint e inicialmente fue dirigido por David Endler. [2] El " día cero " en el nombre de ZDI se refiere a la primera vez, o día cero, cuando un proveedor se da cuenta de una vulnerabilidad en un software específico. El programa se lanzó para otorgar recompensas en efectivo a los investigadores de vulnerabilidades de software y piratas informáticos si demostraban encontrar vulnerabilidades en cualquier variedad de software. Debido a la falta de incentivos y preocupaciones de seguridad y confidencialidad , los investigadores y los piratas informáticos a menudo se ven disuadidos de acercarse a los proveedores cuando encuentran vulnerabilidades en su software. ZDI se creó como un programa de terceros para recopilar e incentivar la búsqueda de tales vulnerabilidades, al tiempo que protege tanto a los investigadores como a la información confidencial detrás de las vulnerabilidades. [2]
Los colaboradores de ZDI han encontrado vulnerabilidades de seguridad en productos como Firefox 3 , [3] Microsoft Windows , [4] QuickTime para Windows, [5] y en una variedad de productos de Adobe . [6] [7]
ZDI también realiza investigaciones internas en busca de vulnerabilidades y ha encontrado muchas en productos de Adobe, [8] productos de Microsoft, [9] [10] [11] productos de VMware , [12] y Oracle Java . [13] [14]
En 2016, ZDI fue el principal proveedor externo de errores tanto para Microsoft como para Adobe, habiendo "comprado y revelado el 22% de las vulnerabilidades de Microsoft descubiertas públicamente y el 28% de las vulnerabilidades reveladas públicamente que se encuentran en el software de Adobe". [15]
ZDI también adjudica la competencia de piratería Pwn2Own que se realiza tres veces al año, [16] donde equipos de piratas informáticos pueden llevarse a casa premios en efectivo y dispositivos de software y hardware que han explotado con éxito.
Compra de hazañas
Ha habido críticas a la venta de exploits de software, así como a las entidades que compran dichas vulnerabilidades. Aunque la práctica es legal, la ética de la práctica siempre está en duda. La mayoría de los críticos están preocupados por lo que puede suceder con las vulnerabilidades de software una vez que se venden. [17] Los piratas informáticos y los investigadores que encuentran fallas en el software pueden vender esas vulnerabilidades a agencias gubernamentales, compañías de terceros, en el mercado negro, oa los propios proveedores de software.
El valor justo de mercado frente al valor del mercado negro de las vulnerabilidades de software difiere enormemente (a menudo varía en decenas de miles de dólares), [18] al igual que las implicaciones para la compra de vulnerabilidades de software. Esta combinación de preocupaciones ha llevado al surgimiento de programas de terceros como ZDI y otros como lugares para informar y vender vulnerabilidades para los investigadores de seguridad. [18]
ZDI recibe envíos de vulnerabilidades como ejecución remota de código , elevación de privilegios y divulgación de información, pero "no compra todos los tipos de errores, incluidos los de secuencias de comandos entre sitios (XSS) que dominan muchos programas de recompensas de errores". [15]
Referencias
- ^ "Un mercado animado, legal y no, para errores de software" . The New York Times . 30 de enero de 2007. Archivado desde el original el 9 de noviembre de 2020 . Consultado el 21 de octubre de 2020 .
- ^ a b "Los grupos discuten sobre los méritos de las recompensas por fallas" . Enfoque de seguridad. 5 de abril de 2006. Archivado desde el original el 2 de febrero de 2021 . Consultado el 21 de octubre de 2020 .
- ^ "La iniciativa Zero Day encuentra la primera vulnerabilidad de Firefox 3" . Cableado . 19 de junio de 2008. Archivado desde el original el 29 de octubre de 2020 . Consultado el 21 de octubre de 2020 .
- ^ "Stuxnet Redux: Microsoft parchea Windows vuln dejado abierto durante CINCO AÑOS" . El registro. 10 de marzo de 2015. Archivado desde el original el 28 de octubre de 2020 . Consultado el 21 de octubre de 2020 .
- ^ "¿Por qué QuickTime para Windows se movió al final de su vida tan abruptamente?" . TechTarget. Archivado desde el original el 2 de diciembre de 2020 . Consultado el 21 de octubre de 2020 .
- ^ "Detén la locura de Flash - 5 errores a la semana" . Computer Weekly. 16 de agosto de 2015. Archivado desde el original el 8 de noviembre de 2020 . Consultado el 21 de octubre de 2020 .
- ^ "Actualizaciones de seguridad disponibles para Adobe Acrobat y Reader" . Adobe. 11 de diciembre de 2015. Archivado desde el original el 25 de mayo de 2020 . Consultado el 21 de octubre de 2020 .
- ^ "Abordar la escalada de privilegios con ataque y defensa" . Sombrero negro. Archivado desde el original el 19 de noviembre de 2020 . Consultado el 21 de octubre de 2020 .
- ^ "Microsoft otorga a los investigadores de HP una recompensa por error de $ 125,000" . ZD Net. 5 de febrero de 2015. Archivado desde el original el 29 de septiembre de 2020 . Consultado el 21 de octubre de 2020 .
- ^ "Código de explotación lanzado por defecto de Internet Explorer sin parchear" . ZD Net. 22 de junio de 2015. Archivado desde el original el 8 de noviembre de 2020 . Consultado el 21 de octubre de 2020 .
- ^ "Abuso de mitigaciones silenciosas: comprensión de las debilidades dentro de Internet Explorer" . Sombrero negro. 29 de diciembre de 2015 . Consultado el 21 de octubre de 2020 .
- ^ "Escapología de VMware T302 Cómo Houdini El hipervisor AbdulAziz Hariri Joshua Smith" . Adrian Crenshaw. 22 de septiembre de 2017. Archivado desde el original el 16 de febrero de 2021 . Consultado el 21 de octubre de 2020 .
- ^ "Black Hat USA 2013 - Java todos los días: explotación de software que se ejecuta en 3 mil millones de dispositivos" . Sombrero negro. 3 de diciembre de 2013. Archivado desde el original el 16 de febrero de 2021 . Consultado el 21 de octubre de 2020 .
- ^ "Investigadores analizan falla de Oracle WebLogic bajo ataque" . Lectura oscura. 11 de mayo de 2020. Archivado desde el original el 31 de octubre de 2020 . Consultado el 21 de octubre de 2020 .
- ^ a b "Dentro de uno de los programas de recompensas de errores más grandes del mundo" . Computer Weekly. 9 de julio de 2018. Archivado desde el original el 20 de septiembre de 2020 . Consultado el 21 de octubre de 2020 .
- ^ "El concurso Pwn2Own pagará 900.000 dólares por hacks que exploten este Tesla" . Ars Technica. 14 de enero de 2019. Archivado desde el original el 7 de noviembre de 2020 . Consultado el 21 de octubre de 2020 .
- ^ "Compras para días cero: una lista de precios para las vulnerabilidades de software secretas de los piratas informáticos" . Forbes . 23 de marzo de 2012. Archivado desde el original el 14 de marzo de 2014 . Consultado el 21 de octubre de 2020 .
- ^ a b "Las ventas de día cero no son 'justas' - para los investigadores" . El registro. 3 de junio de 2007. Archivado desde el original el 16 de febrero de 2021 . Consultado el 21 de octubre de 2020 .
enlaces externos
- Página web oficial