Recompensa de $45.000 é oferecida por exploits zero-day em distros Linux

Uma startup que compra exploits zero-day pagará aos hackers $45.000 por exploits de escalonamento privilégio local no Linux em distribuições populares como o Ubuntu, Debian e Fedora.

A empresa Zerodium, é famosa por seu programa de compra de exploits. Ela paga recompensas tão altas quanto $1,5 milhão se a pesquisa for completamente original e se o alvo estiver certo. O preço depende da segurança do alvo e da demanda no mercado.

O programa pode ser amplamente conhecido na comunidade de cibersegurança, mas os resultados são altamente secretos: A Zerodium, com sede em Washington, D.C., vende esses exploits para clientes do governo que irão pagar pela capacidade de quebrar praticamente qualquer tipo de computador.

Os exploits de escalonamento de privilégios são particularmente valiosas porque permitem que um invasor obtenha acesso a partes de um computador que, de outra forma, seriam restritas a eles.

A nova recompensa de $45.000 de escalonamento de privilégio local para Linux teve um aumento $15.000 do habitual de $30.000 da Zerodium, sugerindo um aumento na demanda. É uma oferta com uma data de validade: O aumentado desses pagamentos durarão somente até 31 de março.

Questionado no Twitter, o fundador da Zerodium, Chaouki Bekrar, ainda não deu seu parecer.

No ano passado, a Zerodium ofereceu uma recompensa de $1 milhão a todos os hackers que encontraram bugs e explorações contra o navegador Tor Browser. Essa oferta durou três meses e terminou em dezembro. O preço habitual para aqueles zero-day são de até $1 milhão. Alguns observadores viram que esse pagamento de sete dígitos como um golpe publicitário, mas Bekrar disse apenas que a demanda dos clientes do governo era alta, mas nunca comentou sobre o resultado do programa.

A recompensa mais elevada da Zerodium foi de $1.5 milhão para um jailbreak zero-dayremoto contra o iPhone. Esse preço elevado, juntamente com os comentários de outros na indústria, mostram o alto nível de dificuldade que os hackers estão tendo contra o dispositivo principal da Apple, que é notório por seu nível cada vez mais elevado de segurança em comparação com o resto dos gadgets do mundo móvel. A Zerodium também oferece $500.000 por zero-day contra apps de mensagens seguras como o Signal, WhatsApp, Telegram e iMessage.

“O preço que Zerodium coloca em um produto é sempre uma indicação da segurança desse produto, quanto maior o preço, melhor é a segurança desse produto”, disse Bekrar à CyberScoop no ano passado. “Os preços resultam de uma alta demanda e de uma pequena superfície de ataque nesses aplicativos, o que torna a descoberta e a exploração de bugs críticos muito desafiadores para os pesquisadores de segurança”.

Fontes: iMasters