domingo, 21 de septiembre de 2008

Venta de Vulnerabilidades en software

Hoy en día, muchos informáticos con conocimientos sobre vulnerabilidades, explotación de las mismas, e ingeniería inversa en general, se pueden ganar un buen sueldo con la venta de lo que descubren de forma legal, vendiéndolo a empresas que tienen clientes que proteger, y reportándolo a la empresa propietaria del software afectado o a los encargados de hacer ese software.

Actualmente, de forma legal conozco 2 y aunque habrá más, son las más conocidas. También hay otra que no es muy "legal" que se pueda decir, ya que vende vulnerabilidades a los que pongan el precio sin importar quien sea, pero con los datos del comprador en teoría, no directamente a la empresa que lo reportará a la afectada como debería ser para evitar problemas.

Os voy a hablar un poco de las 3:

ZeroDayInitiative(ZDI)
Pertenece a 3com-TippingPoint y pagan bastante bien. Es una de las 2 empresas que conozco, y la verdad, parece muy buena. Ellos te proporcionan una lista de las aplicaciones y fabricantes que seguramente acepten vulnerabilidades, y a partir de ahí, dependiendo del tipo de vulnerabilidad, uso extendido y demás de la aplicacion te pagan más o te pagan menos.
Ejemplos conocidos:

Adobe Pdf Reader 8.1.2 Local and Remote Code Execution across Web Browser --> 4000$

Adobe Flash Player 9.0.115.0 and earlier DeclareFunction2 Invalid Object Use Vulnerability --> 5500$


Sacado de infolancer - Vallejo.cc

iDefense Labs
La otra empresa que parece bastante buena y pertenece a Verisign, y que recientemente hizo algunos cambios por lo que pagará más en algunas vulnerabilidades importantes porque creo que quitaron concursos que hacían antes. Ésto me llegó al mail ya que ando registrado ahí desde hace tiempo. No tengo ninguna suma conocida, pero en la misma web que en ZDI, la de Vallejo, comenta que una vulnerabilidad con ejecución de código en algún software, de momento desconocido, le han llegado a pagar 8000$.

Wabisabilabi
Desde hace pocos días, no me aparece las que se venden actualmente, no muestra ninguna, así que no se si seguirá en funcionamiento si quiera...Ya bastante info hay de este en las noticias de internet.
Os dejo una lista de lo que se ha pagado por algunas vulns:
PostgreSQL 8.3.1 con PoC, Remota(No especifica de que tipo) --> 800 Euros
Safari 3.1 con Poc, Remota(Visitando un link seguramente) --> 300 Euros

IBM DB2 9.1.0 sin Poc, Remota --> 1050 Euros
SAP GUI v 620 con Poc x 3 Vulnerabilidades --> 5100 Euros/Vulnerabilidad


Ahi teneis lo que se ha pagado y por cuales.
http://www.wslabi.com/wabisabilabi/initAssignedBid.do?

Luego hay otras que ofrecen menos dinero y son menos conocidas, o directamente las ventas ilegales, que ahí si que te pueden pagar grandes cantidades. Pero merece la pena hacer eso y que te miren mal, pues no.

Espero que os sirva, y el día que consiga vender una, os daré mejor mi opinión, si es que algú día lo consigo, que cada bug que consigo o ya ha sido encontrado o es flojillo y no lo compran porque no les merece la pena.

viernes, 19 de septiembre de 2008

Pasan los años y el mismo software de siempre

Ya van pasando los años y muchas veces por vagueza o por falta de tiempo, mucho tiempo, no arreglan los fallos y siguen poniendo el software para que descarguen, y un usuario que no sabe mucho de fallos ni mira si es vulnerable o no lo que baja, porque como es lo último se imaginará que está sin ningún fallo público.
Pero esto con Simple Blog de 8pixel.net no pasa, tienen la versión 3.0 que es vulnerable a Sql Injection, y no la han arreglado me parece porque es del 2007 la vulnerabilidad y el parche de seguridad es a 2006 de la versión anterior. Además la versión 2.0 y 2.3 deben de estar en algún lado ya que cada 2 x 3 en un reto me envian páginas que encuentran vulenrables,y siguen saliendo después de dos años.
Aquí os dejo la prueba

Exploits públicos:
2007-07-28 SimpleBlog 3.0 (comments_get.asp id) Remote SQL Injection Vulnerability
2006-11-26 SimpleBlog <= 2.3 (admin/edit.asp) Remote SQL Injection Vulnerability
2006-09-04 SimpleBlog <= 2.3 (id) Remote SQL Injection Vulnerability
2006-08-20 SimpleBlog <= 2.0 (comments.asp) Remote SQL Injection Exploit
2006-08-20 SimpleBlog <= 2.0 (comments.asp) Remote SQL Injection Vulnerability

Lista de páginas que han sido o son vulnerables desde( 03/12/2006 - 19/08/2008):
http://www.yashira.org/index.php?showtopic=10033

Fecha del primer parche de seguridad:
28/11/06
--> Me imagino que para la de comments.asp y la de id


Además muchas veces las contraseñas eran las que vienen por defecto o muy relacionadas con el nombre del sitio.

jueves, 18 de septiembre de 2008

De Vuelta

Después de ver las escalofriantes cifras que llegan a pagar por fallos tanto idefense como tippingpoint, me he animado a buscar fallos en software comercial conocido con la intención de encontrar algún fallo bueno y venderlo a ver que tal pagan, ya que pronto hay que sacarse el carnet de coche y no llega..ahora la cosa es buscar bien y probar y probar, una parte que puede llegar a ser muy aburrida.

Asi que Fuzzing, fuzzing y más fuzzing hasta encontrar algo, de momento descubri algunos que ya fueron vendidos o posteados así que nada...xD

miércoles, 10 de septiembre de 2008

Vacaciones hasta el 14

Pues eso, hasta el 14 no estaré delante de un pc, más bien hasta el día 15, así que cuidense y vayan preparándose para el torneo.

Si me llueve mucho a lo mejor hasta me meto algo, pero espero no meterme y tomar el sol un poco jiji

Byeeee

viernes, 5 de septiembre de 2008

Yashira-Masters, Cada vez queda menos


Es el nombre del nuevo torneo que se está preparando por Yashira.org por motivo de la celebración del 5º Cumpleaños de la comunidad de Yashira, tratará de abordar varios temas relacionados con la informática como son: Hacking, Scripting y HTML, Ing. Inversa, Criptografía, Esteganografía...

Comienzo del torneo:
De momento, sólo os puedo decir que será en la 2º quincena de Septiembre, o al menos se estima que será por esas fechas. Cuando lo tenga seguro hago un post de nuevo.

Reglas:
Aún por concretar aunque claro la fuerza bruta no creo que esté permitida en ninguna prueba. Eso dependerá de los retos que haya, así que tendrán que esperar.

Premios:
Camisetas/remeras conmemorativas así como el título/rango especial de "Yashira Master" el cual portarán durante un año (y que posiblemente podrán conservar en una sección especial de su perfil). Se espera poder aumentar los premios, esperar a g30rg3_x a ver que hace jeje.


Bueno a parte de todo esto, espero que participe mucha gente como pasó en blindsec o como en los retos de Chema. En especial, reto a que mandingo y chema participen por hacernos sufrir en sus retos jeje, habrá que avisarles cuando eso para ver si hay suerte y tienen disponibiidad, cosa difícil.