terça-feira, 4 de dezembro de 2012

Ser estrela tem seu preço...


Olá pessoal!

Quantas pessoas estariam interessadas em fotos "mais apimentadas" da vizinha do sexto andar?
O prédio todo?
O quarteirão todo?

E nas fotos da Carolina Dieckmann?
Seguramente milhares de pessoas mais. Mesmo se a vizinha do sexto andar for mais bonita do que a Carolina Dieckmann.

Pois é... é o preço da fama.

E quanto vale uma vulnerabilidade no Corel WordPerfect Office X5?
Perai.
Você sabia que existe um mercado que comercializa vulnerabilidades... certo?
Não?!?!
Vamos explicar rapidinho.

Imagine que você descobre que se criar um site cujo conteúdo tenha uma sequencia especial de comandos que faz com que você ganhe acesso nos computadores das pessoas que visitam seu site usando o Chrome.
Em termos técnicos, o que você descobriu é um 0day, ou seja, uma vulnerabilidade nova e sem correção.
Você tem 2 caminhos:
Moral e ático seria notificar o fabricante informando do problema.
Mas tem muita gente que coloca à venda sua descoberta.

Voltando à pergunta anterior, quanto vale uma vulnerabilidade no Corel WordPerfect Office X5?
Provavelmente tanto quanto as fotos da vizinha do sexto andar.
Muito pouca gente usa ou conhece este software.
Mas e se a vulnerabilidade for no Windows8?

A empresa francesa Vupen, que intitula-se "o principal fornecedor de inteligência defensiva e ofensiva de segurança cibernética", descobriu recentemente uma falha no Windows8/Internet Explorer10, e postou no Twitter que a vulnerabilidade estaria "disponível para o mercado".
Você achou isso... indecente?
Pois o diretor da empresa, Chaouki Bekrar, twitou o seguinte: "Se você acha feio não informar aos fabricantes sobre vulnerabilidades de seus produtos, invista anos e milhões em pesquisa, informe de graça o que você descobrir, e depois venha me falar como você se sente".

Também não é segredo pra minguem que quem mais tem interesse em vulnerabilidades, principalmente as 0day, é gente mal intencionada.
Não sabia?!?!
Imagine que com aquela vulnerabilidade que você descobriu seja possível "plantar" nas máquinas um programinha que faça o que você mandar. Isso tecnicamente chama-se botnet. Uma rede de robôs ou zumbis a serviço de alguém, que dependendo do tamanho pode valer muito dinheiro.
Uma botnet grande mas simples, apenas para atacar e derrubar um site, não sai por menos de US$1000,00 por dia, enquanto outra com a qual se possa fazer fraudes financeiras nunca custa menos de US$2500,00.

O brasileiro, pesquisador da Kaspersky, Fabio Assolini publicou meses atrás que este comércio de serviços é muito comum no crime organizado brasileiro. As negociações mais comuns envolvem a venda de novos trojans desenvolvidos por coders, a venda de “infos” coletadas por spammers ou de trilhas de “CCs” (cartões de crédito) clonados por carders. É comum também a existência de escolas on-line criadas para treinar cibercriminosos novatos, e até mesmo um tipo de “SPC” para registrar a reputação entre os negociantes. Seguindo essa tendência, surgem os primeiros serviços de criação de malware personalizados, chamados de MaaS (Malware as a Service), cuja oferta é bastante comum entre cibercriminosos do leste europeu.

E a pressão do mercado faz com que estes serviços foquem em novos públicos.
Vejam o que se encontra por ai...



Bom pessoal, fica a dica:
Não existe mais aqueles vírus "inocentes" que apagam arquivos, formatam o disco, ou ejetam o CD; o negócio agora é movido por dinheiro... muuuuito dinheiro, e eles estão de olho no seu...

Até o próximo!