Slo-Tech - Podjetje Zerodium, ki se ukvarja z iskanjem, nakupovanjem in prodajo ranljivosti v programski opremi, je včeraj znatno povišalo cene, po katerih je pripravljeno odkupiti ranljivosti v različni programski opremi. Nekateri to vidijo kot znak, da postaja programska oprema čedalje varnejša in da so ranljivosti čedalje redkejše, drugi pa se bojijo, da to kaže na povečano povpraševanje po ranljivostih s strani državnih agencij.
Zerodium je ustanovil francoski strokovnjak za računalniško varnost Chaouki Bekrar, ki je bil pred tem ustanovil tudi skupino VUPEN, ki je bila znana kot eden najbolj plodnih udeležencev hekerskih tekmovanj, kot je Pwn2Own. VUPEN je odkrite ranljivosti tudi prodajal, isto pa sedaj počne v ZDA ustanovljen Zerodium. Bekrar sicer zatrjuje, da ranljivosti prodajajo samo preverjenim strankam, ki so v glavnem velika podjetja in državne agencije iz Severne Amerike in Evrope, a tega ni mogoče preveriti. Septembra 2015 so objavili prvi seznam ranljivosti, ki jih odkupujejo, ta pa se je včeraj izdatno razširil in podražil.
Še vedno največ ponujajo za ranljivost, ki omogoča odklep telefona z iOS brez posredovanja uporabnika - 1,5 milijona dolarjev. Če je potrebna uporabniška interakcija, je ranljivost vredna milijon dolarjev. So se pa na seznamu na novo znašla orodja za varno komuniciranje, kot so Signal, WhatsApp, Viber, Telegram itd. Zerodium za ranljivosti v teh programih ponuja 500.000 dolarjev. Pomembna novost so tudi napadi na baseband (koda za komunikacijo telefona z omrežjem), ki so vredni 150.000 dolarjev. Strokovnjaki opozarjajo, da dvig cen ranljivosti v mobilni programski opremi nakazuje na povečanje povpraševanja po njih. Ker ljudje čedalje več uporabljajo mobilne telefone za komunikacijo, je logično tudi želja po lomljenju zaščit večja.
Veliko ponujajo tudi za napade na klasične operacijske sisteme. Ranljivost v Windows 10 je vredna 300.000 dolarjev, v Chromu 150.000 dolarjev, v TOR-u do 100.000 dolarjev itd. Zanimivo je, da so vse te vrednosti precej višje od nagrad, ki jih za prijavljene hrošče in ranljivosti ponujajo proizvajalci (bug bounty). Med njimi sicer obstoji pomembna razlika, saj proizvajalci nagradijo že koncept, medtem ko Zerodium odkupuje v glavnem polno funkcionalne izdelke, ki izkoriščajo dano ranljivost. A dejstvo ostaja, da so ranljivosti velikanski posel, ki se ga gredo vsi od zasebnega sektorja do obveščevalnih agencij.
Novice » Varnost » Cene za ranljivosti v programski opremi rastejo
shadeX ::
Še vedno največ ponujajo za ranljivost, ki omogoča odklep telefona z iOS brez posredovanja uporabnika - 1,5 milijona dolarjev.
Mogoče kdo ve koliko ponujajo za Android?
FTad ::
Ne razumem najbolj poante teh podjetji, morda mi lahko kdo odgovori na vprasanje? Torej podjetja najamejo to podjetje, da jim preverijo ranljivosti v softwaer-u?
Elysium ::
Ne razumem najbolj poante teh podjetji, morda mi lahko kdo odgovori na vprasanje? Torej podjetja najamejo to podjetje, da jim preverijo ranljivosti v softwaer-u?
Ma ne. Ti si npr. DHS (Department of Homeland Security) in si na mejnem prehodu ustavil nekega znanega muslimanskega terorista. Ker sam ne poznaš načina, kako bi odklenil telefon, ki ga sam seveda noče, vseeno pa bi rad pogladal, kaj ima na telefonu, kontaktiraš takšno podjetje, da ti povejo "recept", kako se to naredi. Seveda moraš za to uslugo tudi plačati.
BlackMaX ::
Ne razumem najbolj poante teh podjetji, morda mi lahko kdo odgovori na vprasanje? Torej podjetja najamejo to podjetje, da jim preverijo ranljivosti v softwaer-u?
Ma ne. Ti si npr. DHS (Department of Homeland Security) in si na mejnem prehodu ustavil nekega znanega muslimanskega terorista. Ker sam ne poznaš načina, kako bi odklenil telefon, ki ga sam seveda noče, vseeno pa bi rad pogladal, kaj ima na telefonu, kontaktiraš takšno podjetje, da ti povejo "recept", kako se to naredi. Seveda moraš za to uslugo tudi plačati.
Z drugimi besedami, legalno vdiranje v osebne naprave, zato ker si "uradni organ" v tem primeru.
MrStein ::
Bekrar sicer zatrjuje, da ranljivosti prodajajo samo preverjenim strankam
Častna Titova!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
FTad ::
Ne razumem najbolj poante teh podjetji, morda mi lahko kdo odgovori na vprasanje? Torej podjetja najamejo to podjetje, da jim preverijo ranljivosti v softwaer-u?
Ma ne. Ti si npr. DHS (Department of Homeland Security) in si na mejnem prehodu ustavil nekega znanega muslimanskega terorista. Ker sam ne poznaš načina, kako bi odklenil telefon, ki ga sam seveda noče, vseeno pa bi rad pogladal, kaj ima na telefonu, kontaktiraš takšno podjetje, da ti povejo "recept", kako se to naredi. Seveda moraš za to uslugo tudi plačati.
Z drugimi besedami, legalno vdiranje v osebne naprave, zato ker si "uradni organ" v tem primeru.
hvala za pojasnilo :)
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Ranljivosti v Linuxu za pol milijona dolarjev, v iOS za poldrugi milijonOddelek: Novice / Varnost | 3523 (2699) | wechta |
» | Za vdor v iPhone poldrugi milijon dolarjevOddelek: Novice / Varnost | 4455 (2782) | no comment |
» | FBI za odklep iPhona 5C plačal več kot milijon dolarjevOddelek: Novice / Ostale najave | 6355 (4603) | D3m0r4l1z3d |
» | Milijonski vdor v iOS 9Oddelek: Novice / Apple iPhone/iPad/iPod | 23440 (19550) | nekikr |
» | Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijoneOddelek: Novice / Varnost | 19869 (16908) | Iatromantis |