Informações Sobre Falhas 0-Day em Sistemas SCADA Disponíveis para Venda

Seguindo os passos da companhia francesa Vupen Security, a ReVuln também decidiu vender informações sobre vulnerabilidades 0-Day para as empresas e organizações governamentais, ao invés de de compartilhá-las com os desenvolvedores do software e hardware que estavam apresentando defeitos. Em um vídeo lançado recentemente, a empresa exibiu um número de exploits 0-Day para sistemas SCADA, e afirmou que todas as vulnerabilidades afetam o lado do servidor e podem ser exploradas remotamente.



Segundo a empresa, eles descobriram vulnerabilidades em produtos da General Electric, da Schneider Electric, Kaskad, ABB/Rockwell, Eaton, Siemens e outros bem conhecidos fornecedores SCADA / HMI. A ReVuln foi fundada pelo pesquisador de segurança independente Luigi Auriemma, e pelo ex-pesquisador de segurança da RIM, Donato Ferrante. Auriemma é bem conhecido na comunidade de segurança, devido ao seu trabalho em descobrir vulnerabilidades e todo e qualquer tipo de software, mas nos últimos anos ele tem quase sempre focado no detalhamento de vulnerabilidades SCADA e criação de exploits para eles.

Ele normalmente compartilha suas descobertas com os fabricantes de software e com o público a partir da lista de discussão Bugtraq, mas aparentemente conseguiu o suficiente ao receber o pagamento por seus esforços. Apesar de não ser a primeira empresa a optar por este tipo de modelo de negócio, a ReVuln, certamente, receberá uma porção de críticas dirigidas a todos aqueles que não compartilham o conhecimento sobre as vulnerabilidades com os fabricantes.


Saiba Mais:

[1] Net Security http://www.net-security.org/secworld.php?id=13994