Slashdot - Mnogokrat pišemo o tako imenovanih zero day ranljivostih programov, pri čemer se vedno obregamo na urnost proizvajalcev pri pripravi popravkov, redko pa se govori o ekonomski vrednosti teh ranljivosti. Kot so pokazali zadnji napadi, so zero day ranljivosti dragocene tako za napadalce kot tudi obrambo.
Kot pišejo v zanimivem članku na Net Security, je treba za odkritje kakšne kvalitetne luknje žrtvovati približno tri mesece trdega dela hekerjev. Ti zato na podzemnih trgih ranljivosti, ki so se razcveteli v zadnjem času, zanje zahtevajo več sto tisoč dolarjev. Na njih so poleg zlikovcev dejavne tudi vladne agencije, ki lahko cene navijejo tudi milijona dolarjev. Obstaja pa še beli trg, kjer sodelujejo podjetja, kot so VeriSign, TippingPoint in Google, ki kupujejo zero day ranljivosti z namenom pokrpati svoje izdelke, preden lahko napadalci povzročijo resno škodo.
Na splošno velika podjetja nerada plačujejo. Microsoft je znan po tem, da za javljene ranljivosti ne plača nič, ker da to ne bi podpiralo skupnostnega pristopa k varovanju strank prek kiberkriminalom. Google in Mozilla na primer nudita skromnih 500 dolarjev za odkrite hrošče in ranljivosti.
Novice » Omrežja / internet » Z ranljivostmi se živahno trguje
r0ker ::
haha, dobra. globoka.
če bi vseh sto tisoče razvijalcev linux jedra in ostalih igračk bili plačani...
google da 1337 dolarjev za večjo ranljivost. in sami določijo kaj je večja ranljivost
če bi vseh sto tisoče razvijalcev linux jedra in ostalih igračk bili plačani...
google da 1337 dolarjev za večjo ranljivost. in sami določijo kaj je večja ranljivost
680x0 ::
denial ::
Pedram Amini, Mostrame la Guita, cenik
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
cryptozaver ::
A ni ceneje financirat testiranje softwera preden gre dotični na police?
Zgodovina sprememb…
- spremenilo: cryptozaver ()
amigo_no1 ::
Samo ob predpostavki, da bo exploit odkril pošten raziskovalec sistemov (in poslal spoznanje proizvajalcu, da le-ta izda popravek) .
techfreak :) ::
cryptozaver je izjavil:
A ni ceneje financirat testiranje softwera preden gre dotični na police?
Obseg testiranja je odvisen od samega produkta, napisati obširen software brez napak je pa nemogoče.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Ranljivosti v Linuxu za pol milijona dolarjev, v iOS za poldrugi milijonOddelek: Novice / Varnost | 3532 (2708) | wechta |
» | Izsiljevalski virusi napadajo tudi spletne strežnike na LinuxuOddelek: Novice / Kriptovalute | 12958 (10503) | filipk |
» | Milijonski vdor v iOS 9Oddelek: Novice / Apple iPhone/iPad/iPod | 23513 (19623) | nekikr |
» | Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in JavaOddelek: Novice / Varnost | 7885 (5792) | MrStein |
» | Danes izredni popravek za ranljivost v Internet ExplorerjuOddelek: Novice / Varnost | 8414 (6807) | techfreak :) |