El mercado de las vulnerabilidades 0day

Interesante enlace y no menos interesantes las argumentaciones que expone Dancho Danchev en su última entrada en su blog.

Was the WMF vulnerability purchased for $4000?! es un artículo donde se habla de la existencia de un mercado donde existen vendedores y compradores de vulnerabilidades del tipo 0day. Este tipo de investigación ya la había realizado previamente, con un buen análisis sobre la posibilidad real de que exista un mercado de compraventa de información relativo a vulnerabilidades.

¿Fue comprada la vulnerabilidad WMF por 4000 dólares americanos? Entiéndase por comprada el que, de un modo previo a la explotación masiva o en sus albores, cuando no había datos, alguien adquiriese el conocimiento de la misma y las vías de explotación a cambio de esa cantidad de dinero.

Aparentemente, según declaraciones de Kaspersky Lab, es probable que este exploit fuera ofrecido por 4000 dólares americanos y que fuera adquirido por numerosos sitios especializados, a mediados de diciembre. Kaspersky comenta en la nota que uno de los compradores de la vulnerabilidad estuvo y de hecho está envuelto en la creación de spyware criminal para ser explotado comercialmente, y que esa es la causa real por la que el problema se hizo público.

Las declaraciones de Kaspersky, sin duda, son de estas que te dejan un mal sabor de boca, no por que no crea lo que dicen, que los creo, sino porque esta es una manifestación clara de que el malware es un negocio y con expectativas muy serias de consolidación (aún más de la que tiene). El bug fué creado para el mercado ruso, para ser explotado por bandas de crimen organizado, con el único ánimo de generar ingresos por la venta del mismo. Terrorífico.

The data we have, plus the Russian involvement, make it clear that information about the vulnerability was not passed to companies such as eEye or iDefence, which specialize in identifying vulnerabilities. Firstly, the hacker groups didn’t understand exactly how the vulnerability functions, and secondly, the exploit was created in order to be sold on to cyber criminals. Thirdly, research bodies did not have information about the fact that the exploit was being sold, due to the fact that it was created for the Russian market.

Danchev apunta en su artículo algunas razones para pensar que el mercado de las vulnerabilidades está en auge, y que detrás de este auge existen razones económicas de mucho peso. Sin duda, el peor escenario es aquel representado por la creación de exploits bajo demanda, un mercado que es totalmente factible, y que visto lo visto con el caso de la vulnerabilidad WMF, es totalmente real.

Un artículo bastante ácido (hay tiritos para quienes cobran un montón de dinero por un informe de 10 páginas que no dice nada, los hay para quienes sospechan que todos los investigadores TI nos movemos por asuntos económicos, no tiene desperdicio) el cual os recomiendo.

Una de correos cadena

Hoy me ha enviado una amiga mía un email, donde manifestaba su profunda preocupación por una información que le habían enviado a su vez unos compañeros de trabajo.

Me pide opinión, así que como sé que lee el blog (aunque luego siempre me dice que no se entera de nada) le dejo aquí mis posibles comentarios. El asunto del correo es, en mayúscula, cómo no, NUEVO VIRUS INFORMÁTICO.

El texto dice algo tal que:

En los próximos días, deben estar atentos: No abran ningún mensaje con un archivo anexo llamado «Invitation», independientemente de quien se lo envíe. Es un virus que «abre» una antorcha olímpica que «quema» todo el disco duro C de la computadora. Este virus vendrá de una persona conocida que te tenia en su lista de direcciones es por eso que debes enviar este mail a todos tus contactos., es preferible recibir 25 veces este mensaje que recibir el virus y abrirlo. Si recibes el correo llamado «Invitation», aunque sea enviado por un amigo, no lo abras y apaga tu maquina inmediatamente.

El peor virus anunciado por CNN. Un nuevo virus ha sido descubierto recientemente que ha sido
clasificado por Microsoft como el virus mas destructivo que haya existido. Este virus fue descubierto ayer por la tarde por McAfee. Y no hay arreglo aun para esta clase de virus. Este virus destruye simplemente el Sector Zero del Disco Duro, donde la información vital de su función es guardada.

ENVIA ESTE E-MAIL A QUIENES CONOZCAS. PROTEJAMONOS!! COPIA ESTE CORREO A UNO NUEVO Y MANDALO A TODOS TUS AMIGOS Y RECUERDA QUE SI LO ENVIAS A ELLOS, NOS BENEFICIAS A TODOS.

Analicemos el correo. Hagamos un resumen de las paridas que lee uno en un correo cadena de este tipo:

Es un virus que «abre» una antorcha olímpica que «quema» todo el disco duro C de la computadora. Ahá, es decir, este virus va a incendiar mi equipo. Si abro el correo resulta que una antorcha, además olímipica (de esas que miden un metro de largo, sí) aparecerá de la nada con la cruel intención de quemar mi disco duro. Pero no el disco duro X, ni el E, ni el J, sólo quemará el disco duro C.

Este virus vendrá de una persona conocida que te tenia en su lista de direcciones es por eso que debes enviar este mail a todos tus contactos, es preferible recibir 25 veces este mensaje que recibir el virus y abrirlo.
. Cierto, es preferible hacer el memo durante una hora y media reenviando el mensaje a otros 25 memos que ponerse a pensar sobre lo improbable que resulta que una antorcha de un metro de largo incendie mi disco duro. Además, si al principio del correo me dice que «no abra el mensaje independientemente de quien se lo envíe», ¿cómo es que ahora ya se sabe que la antorcha me la va a enviar un amigo?

Si recibes el correo llamado «Invitation», aunque sea enviado por un amigo, no lo abras y apaga tu maquina inmediatamente. Pero vamos a ver, en qué quedamos. ¿me lo mandará un amigo? ¿me lo mandará el vecino del quinto? ¿Y qué es eso de que apagará mi ordenador, no habíamos quedado que el virus pretendía calcinar mi disco duro C? ¿Se ha vuelto más bondadoso el especimen o qué?

El peor virus anunciado por CNN. Ahhh, si es el peor que ha anunciado la CNN es que la CNN anuncia habitualmente la existencia de virus, ¿no?. Voy a tener que pensar en abonarme a una plataforma de satélite para coger la CNN, oiga, y es que con mi antena orientada al repetidor de Mijas sólo cojo la 1, la 2, Antena 3 y Tele 5. ¿Me dirán allí cuándo salen virus malos, como en la CNN? Por cierto, ¿y qué leches hace el que no entienda inglés? ¿Habrá que suscribirse a Galavisión?

Este virus fue descubierto ayer por la tarde por McAfee. Menos mal, que alivio. Un motor antivirus de los 500 millones que hay ha descubierto que, según la CNN, un virus muy malo me va a llegar a través de un amigo, y que si lo abro, no sólo se me apagará el ordenador, sino que una antorcha de un metro de largo quemará mi diso duro. Además, son rápidos, lo descubrieron «ayer por la tarde». Menos mal que mi amigo este el que me reenvía estos útiles correo no sólo está abonado a la CNN, sino que además, está pendiente de McAfee. ¡ Que fiera ! Ah, una cosa, ¿cuántos de esos receptores saben qué es McAfee?

Un nuevo virus ha sido descubierto recientemente que ha sido clasificado por Microsoft como el virus mas destructivo que haya existido
. Empiezo a tener miedo. No sólo están al tanto la CNN, McAfee y mi avispado amigo, sino que además Microsoft ya ha declarado que es el virus más destructivo que ha existido. Crucemos los dedos. La antorcha quemará mi ordenador, voy a ir retirando los papeles y la cortina, vaya que el fuego termine por incendiar mi casa entera.

Y no hay arreglo aun para esta clase de virus. Dios mío, estoy acojonado. Espero que entre la CNN, Microsoft y McAfee me saquen las castañas del fuego, ya que me veo envuelto en humo esta noche. Le preguntaré a mi amigo a ver si conviene también comprar un extintor, visto lo visto.

Este virus destruye simplemente el Sector Zero del Disco Duro, donde la información vital de su función es guardada.
Vaya, que informativo. El sector Zero, con zeta, que moderno. Y ahí va la información vital de mi función. Pero oiga, yo no soy actor de teatro, ¿qué es eso de mi función? ¿hay que escenificar una danza del fuego cuando el virus queme mi disco duro? ¿agitando la antorcha?

ENVIA ESTE E-MAIL A QUIENES CONOZCAS. PROTEJAMONOS!! COPIA ESTE CORREO A UNO NUEVO Y MANDALO A TODOS TUS AMIGOS Y RECUERDA QUE SI LO ENVIAS A ELLOS, NOS BENEFICIAS A TODOS
. Voy corriendo a reenviar el texto a mis 450 contactos del MSN. Ah, no, no puedo, sólo puedo comunicarme con 25. Seguro que agradecerán saber que la CNN anda tras la pista de una antorcha mágica que terminará incendiando el disco duro y borrando el sector «zero». Ahora que lo pienso, ¿qué pasa al final? ¿se borra el disco? ¿pero no había que bailar una danza con la antorcha? Madre mía, que lío esto de la informática

CONCLUSIONES

  • Si has enviado este estúpido mensaje, tras hacer una lectura rápida, fijándote sólo en eso de «corre, envía esto a 25 amigos rápidamente», definitivamente deberías aprender a leer las cosas antes de darle al botón ENVIAR. No quiero pensar que te tomas las cosas tan a la ligera cuando, por ejemplo, metes tu número de tarjeta de crédito en un formulario. No me quiero imaginar tampoco qué harás cuando tu banco te envíe esos tentadores emails donde te incitan a meter tu clave, tus 80 coordenadas de seguridad y a enviar por fax una copia del pasaporte a un número de teléfono de Trinidad y Tobago. Tampoco pensaré que harás cuando el Presidente del Nigerian International Bank te comunique oficialmente por correo que has ganado 26 millones de dólares. Cruzaré los dedos.
  • Si has leído completamente el mensaje y pese a eso te has pegado una hora enviando el mensaje a tus amigos, lo tuyo definitivamente es un problema de retraso mental. Deberías, y en este orden, imprimir este texto, acudir al centro hospitalario más cercano con el papel impreso debajo del brazo, solicitar asistencia psiquiátrica, y posteriormente, si es que recuperas el norte (eso siempre y cuando no acabes quemado por la antorcha mágica) plantearte que el ordenador no es lo tuyo. Esto es para comunicarse y divertirse, no es para acabar convertido en carbonilla por culpa de un terrible virus. Ah, y no se te ocurra ver más la CNN, vaya a ser que esta noche te cuenten que cabe la posibilidad de que una banda de jubilados angoleños sedientos de venganza meta próximamente en tu buzón un sobre repleto de Anthrax.
  • Si todavía sigues pensando que la CNN, Microsoft, McAfee y el avispado remitente del mensaje están advirtiéndote de un tema serio, no te cortes: copia y pega el texto, y mándaselo a tus contactos. Con un poco de suerte lo recibiré de nuevo, y me volveré a plantear que pása por la cabeza de más de uno a la hora de pulsar las teclas :)