Los hackers llevan años comprando y vendiendo sus secretos en mercado de exploits día cero para los que no existe parche de software. Ahora, un nuevo mercado espera formalizar el comercio de armas digitales en un entorno en el que pudiera florecer: bajo la protección del anonimato de la Web Oscura.
En el último mes, un mercado en la darknet autodenominado Mercado TheRealDeal ha surgido; se centra ser intermediario entre los hackers y posibles compradores de vulnerabilidades día cero. Al igual que Silk Road y sus sucesores en línea del mercado negro, TheRealDeal utiliza el software de anonimato Tor y la moneda digital bitcoin para ocultar las identidades de sus compradores, vendedores y administradores. Pero mientras que algunos otros sitios se han vendido simples, herramientas de hacking de nivel básico y para robar datos financieros, los creadores de TheRealDeal dicen que están buscando negociar datos premium de hackers como los servicios de hacking codiciados día cero (es decir, que aun no hay parche para dicha vulnerabilidad), código fuente, y, en algunos casos, estos se ofrecen en una exclusiva, venta de una sola vez (lo cual es mas caro, debido a que el uso por una entidad asegura mas tiempo de vida de dicho exploit).
"Bienvenidos ... originalmente abrimos este mercado como 'mercado de código'-:" dice un mensaje de administradores anónimos del sitio. "Evitar completamente la estafa/escoria y disfrutar de verdadero código, información de bienes y productos reales."
Hasta el momento, el mercado no ofrece muchas vulnerabilidades a la venta, pero los pocos que aparecen en la lista son significativos: Uno, con un precio de $ 17.000 en bitcoin, pretende ser un nuevo método para hackear cuentas de Apple iCloud. "Se puede acceder a cualquier cuenta con una petición maliciosa de una cuenta de proxy", dice la descripción. "Por favor, arreglar una demostración indicandome una cuenta de su elección para hackear."
Otros incluyen una técnica para hackear configuración de varios sitios de WordPress, un exploit contra el navegador predeterminado de Android Webview , y un ataque de Internet Explorer que afirma que trabaja en Windows XP, Windows Vista y Windows 7, disponible por alrededor de $ 8.000 en bitcoin. "Encontrado hace 2 meses por fuzzing", el vendedor escribe, "Dispuesto a mostrar una demo a través de los medios habituales, mensaje de mí, pero no me hagas perder el tiempo!"
Apple, WordPress, Google y Microsoft no han respondido a las peticiones para hacer comentarios en el momento de su publicación.
Para ser claros, ninguno de los exploits que figuran en el sitio han sido confirmados que funcionen en realidad. Cualquiera de los anuncios podrían ser intentos de estafa hacia compradores incautos. La vulnerabilidad $ 17,000 iCloud, en particular, que pretende ofrecer el acceso a prácticamente todos los datos móviles sensibles de un usuario, incluyendo correos electrónicos y fotos, suena demasiado bueno para ser verdad. En comparación, vendedores de exploits día cero en 2012 afirman que una vulnerabilidad de iOS tpodría venderse hasta por US $ 250.000. En el 2013, el New York Times informó de que un individuo había vendido una a un gobierno por medio millón de dólares.
En el último mes, un mercado en la darknet autodenominado Mercado TheRealDeal ha surgido; se centra ser intermediario entre los hackers y posibles compradores de vulnerabilidades día cero. Al igual que Silk Road y sus sucesores en línea del mercado negro, TheRealDeal utiliza el software de anonimato Tor y la moneda digital bitcoin para ocultar las identidades de sus compradores, vendedores y administradores. Pero mientras que algunos otros sitios se han vendido simples, herramientas de hacking de nivel básico y para robar datos financieros, los creadores de TheRealDeal dicen que están buscando negociar datos premium de hackers como los servicios de hacking codiciados día cero (es decir, que aun no hay parche para dicha vulnerabilidad), código fuente, y, en algunos casos, estos se ofrecen en una exclusiva, venta de una sola vez (lo cual es mas caro, debido a que el uso por una entidad asegura mas tiempo de vida de dicho exploit)."Bienvenidos ... originalmente abrimos este mercado como 'mercado de código'-:" dice un mensaje de administradores anónimos del sitio. "Evitar completamente la estafa/escoria y disfrutar de verdadero código, información de bienes y productos reales."
Hasta el momento, el mercado no ofrece muchas vulnerabilidades a la venta, pero los pocos que aparecen en la lista son significativos: Uno, con un precio de $ 17.000 en bitcoin, pretende ser un nuevo método para hackear cuentas de Apple iCloud. "Se puede acceder a cualquier cuenta con una petición maliciosa de una cuenta de proxy", dice la descripción. "Por favor, arreglar una demostración indicandome una cuenta de su elección para hackear."
Otros incluyen una técnica para hackear configuración de varios sitios de WordPress, un exploit contra el navegador predeterminado de Android Webview , y un ataque de Internet Explorer que afirma que trabaja en Windows XP, Windows Vista y Windows 7, disponible por alrededor de $ 8.000 en bitcoin. "Encontrado hace 2 meses por fuzzing", el vendedor escribe, "Dispuesto a mostrar una demo a través de los medios habituales, mensaje de mí, pero no me hagas perder el tiempo!"
Apple, WordPress, Google y Microsoft no han respondido a las peticiones para hacer comentarios en el momento de su publicación.
Para ser claros, ninguno de los exploits que figuran en el sitio han sido confirmados que funcionen en realidad. Cualquiera de los anuncios podrían ser intentos de estafa hacia compradores incautos. La vulnerabilidad $ 17,000 iCloud, en particular, que pretende ofrecer el acceso a prácticamente todos los datos móviles sensibles de un usuario, incluyendo correos electrónicos y fotos, suena demasiado bueno para ser verdad. En comparación, vendedores de exploits día cero en 2012 afirman que una vulnerabilidad de iOS tpodría venderse hasta por US $ 250.000. En el 2013, el New York Times informó de que un individuo había vendido una a un gobierno por medio millón de dólares.
