Se ofrecen recompensas por hasta 500.000 dolares por encontrar ZeroDays en algunas distros Linux

Zerodium esta ofreciendo recompensas por hasta 500.000 dolares por encontrar algunos Zero Days en sistemas operativos basados en linux como OpenBSD, FreeBSD, NetBSD y también sistemas operativos como Ubuntu, CentOS, Debian y otros.

Zerodium es conocido como una agencia que realiza las compras de vulnerabilidades de Dia Cero y las revende a agencias de gubernamentales y que protegen la ley. El programa fue anunciado durante comienzos de semana mediante la cuenta oficial de Twitter.



Los pagos habituales de la compañía para los exploits de escalada de privilegios de Linux pueden oscilar entre $ 10,000 y $ 30,000. Las recompensas de escalamiento de privilegios locales (LPE) pueden llegar a $ 100,000 por "un exploit con una calidad y cobertura excepcionales", como, por ejemplo, un exploit de kernel de Linux que afecta a todas las distribuciones principales.

Los pagos por exploit de ejecución remota de código (RCE) de Linux pueden generar entre $ 50,000 y $ 500,000 dependiendo del software / servicio objetivo y su cuota de mercado. Las recompensas más altas se otorgan generalmente para los LPE y los RCE que afectan las distribuciones de CentOS y Ubuntu.

Otros factores incluyen la fiabilidad del exploit, su índice de éxito, el número de vulnerabilidades encadenadas para que funcione el exploit final (más errores encadenados significan más posibilidades de que el exploit se rompa inesperadamente) y la configuración del sistema operativo necesaria para que el exploit funcione (exploits se valoran más si funcionan en contra de las configuraciones del sistema operativo por defecto).

Antes de que la reciente publicación apuntara a recompensas de sistemas linux basados en BSD, Zerodium tuvo otros objetivos de recompensas por el descubrimiento de exploit dirigidos a Apple Ios 9 y 10, Adobe Flash Player, aplicaciones de mensajeria movil, el navegador Tor, Web-hosting, OutLook, Android y Linux.




La compañía se hizo un nombre en 2015 cuando llevó a cabo campañas de adquisición que ofrecían premios exorbitantes para iOS con cero días de hasta $ 1.5 millones. Esas recompensas son ahora parte del gráfico de precios estándar de la compañía, con un jailbreak remoto con exploits de persistencia dirigidos a dispositivos iPhone que se valoran en los mismos $ 1.5 millones.

Desde que Zerodium atrajo la atención de todos hacia el mercado de intermediación de exploits en 2015, el mercado se ha vuelto más y más concurrido, pero también más sórdido, con algunas compañías acusadas de vender días cero a agencias gubernamentales en países con regímenes opresivos o dictatoriales, donde a menudo se utilizan contra oponentes políticos, periodistas y disidentes, en lugar de perseguir a criminales reales.

La última compañía que irrumpió en el mercado de intermediación de día cero es Crowdfense, que recientemente lanzó un programa de adquisición con premios de $ 10 millones, de los cuales ya pagó $ 4.5 millones a los investigadores.

BleepingComputer