»

Tudi Apple bo nagrajeval odkrite ranljivosti

Slo-Tech - Programe lova na hrošče, kjer so odkritelji in prijavitelji hroščev v programski opremi za svoja odkritja nagrajeni, imajo številna podjetja. Tako imenovane bug bounty programe imajo tako klasični proizvajalci programske opreme ali ponudniki storitev, kakršna sta Google in Facbook, kot tudi drugi tehnološki velikani, denimo Tesla ali celo United Airlines. Opazna izjema je bil Apple, ki do minulega tedna tega programa ni imel. Toda tudi v Cupertinu se počasi premika.

Podjetja so pač spoznala, da so hrošči in ranljivosti neizbežen del programske opreme, zato je najbolje, da jih odkritelji odgovorno prijavijo proizvajalcu. Ker je trg ranljivosti živahen, morajo seveda prijavitelje tudi finančno motivirati, sicer bodo ti svoje odkritje raje prodali...

0 komentarjev

Google Zero bo iskal hrošče tudi v tujih programih

Chris Evans nabira ekipo za Project Zero.

Wired News - Projekti nagrajevanja odkriteljev ranljivosti v programski opremi (bug bounties) so med podjetji že nekaj običajnega. Ima ga tudi Google, kjer so v štirih letih podelili že precej nagrad. Sedaj pa bo Google lovljenje hroščev dvignil na novo dimenzijo, saj se bodo lotili tudi tuje programske opreme in to kar v lastni hiši.

Zagnali so Project Zero, na katerem bodo zaposlili največje strokovnjake za iskanje ranljivosti in lovljenje hroščev. Ti ne bodo imeli...

15 komentarjev

Tudi Microsoft bo plačeval za najdene ranljivosti

ZDNet - Microsoft se pridružuje čedalje večji skupini podjetij (najbolj znana so Google, Mozilla in Facebook), ki nagrajujejo ranljivosti, ki jih uporabniki oziroma raziskovalci odkrijejo v njihovih izdelkih. Doslej so to počeli le v okviru programa BlueHat, ki je potekal kot tekmovanje, ko so razdelili tudi do četrt milijona dolarjev. Sedaj pa prihaja stalni natečaj.

Kot pojasnjujejo v Redmondu, so včasih ljudje z odkritimi ranljivostmi prihajali neposredno k njim. Sčasoma je to izzvenelo, zato želijo to početje znova obuditi. Zanimivo pa je, da bo Microsoftov program vključeval tudi beta verzije izdelkov, kar je novost. Recimo Internet Explorer 11, ki pride v beta inačici z Windows 8.1 (Blue), bo že tak primer. Microsoft pravi, da drugod raziskovalci niso motivirani, da bi...

13 komentarjev

Microsoft odpira četrt milijona dolarjev vreden natečaj

Microsoft - Medtem ko Facebook, Google in Mozilla hrošče v svojih programih in straneh lovijo tudi tako, da najditeljem in prijaviteljem podeljujejo nagrade, se je Microsoft odločil za drugačen pristop. Klasično lovljenje hroščev za nagrado (bug bounties) je po besedah Katie Moussouris, vodje varnostne strategije v Microsoftu, neprimerno, zato so poizkusili nekaj večjega. Na letošnji konferenci Black Hat so predstavili program, ki ponuja 250.000 dolarjev za najboljšo zamisel.

Kot pravi, raziskovalci že sedaj redno javljajo ranljivosti in hrošče Microsoftu, nekaj tisoč dolarjev vredne nagrade pa tega ne bodo spremenile, saj kdor želi, lahko na črnem trgu zanje iztrži mnogo več. Česa se je torej domislil Microsoft?

Gre za razpis BlueHat Prize, kjer je prva nagrada 200.000 dolarjev, druga nagrada 50.000 dolarjev in tretja nagrada enoletna naročnina na MSDN Universal. Vse ti nagrade...

18 komentarjev

Hekerska meka v Las Vegasu

Slo-Tech - Te dni se v Las Vegasu ponovno odvija največja krekerska konferenca, Black Hat. Letos naj bi število obiskovalcev po nekaterih napovedih preseglo že 8000 ljudi. Hkrati poteka 8 sledi.

Uvodni govor je letos imel nekdanji agent CIE, ki je deloval v sklopu protiteroristične skupine, predaval pa je o tem kako je Stuxnet zaznamoval začetek nove dobe, ko napad na kiber infrastrukturo pusti posledice v delovanju fizičnih naprav in da so z dostopnostjo kode črva...

21 komentarjev

Facebook finančno nagrajuje odkrite ranljivosti

Facebook - Podobno kot to počneta Google in Mozilla, je tudi Facebook napovedal finančno nagrajevanje odkritih hroščev na svojih straneh in v svojih aplikacijah. Medtem ko Google plačuje do 3.133,7 dolarjev, odvisno od resnosti ranljivosti, in Mozilla 3000 dolarjev, je Facebook svojo nagrado za zdaj postavil na 500 dolarjev. Za velike luknje lahko podelijo tudi večjo nagrado, a se o tem odloča vsakokrat posebej.

Pripravili so poseben portal Whitehat, kjer lahko odkritelji odgovorno javijo napake, tako da ima Facebook čas za odpravo, odkritelji pa kandidirajo za 500 dolarjev. Pri tem so izključene napake v aplikacijah tretjih proizvajalcev, tretjih strani, napake kot posledice napadov DoS in...

3 komentarji

Na letošnjem Pwn2Ownu rekordna nagrada za uspešen napad na Chrome

ComputerWorld - Vsakoletni hekerski dogodek, kjer hekerji in raziskovalci demonstrirajo svoje poznavanje brskalnikov in mobilnih telefonov ter varnostnih lukenj v njih, se bo letos v Vancouvru začel 9. marca. Za nekoliko več vznemirjenja kot ponavadi je poskrbel Google, ki je razpisal doslej najvišjo nagrado 20.000 dolarjev za kogarkoli, ki bi našel in uspešno zlorabil kakšno ranljivost v njihovem brskalniku Chrome.

Na letošnjem Pwn2Ownu bosta okolje 64-bitna operacijska sistema Windows 7 in Mac OS X, na katerih bodo tekli Internet Explorer, Firefox, Safari in Chrome. Prvi, ki bodo zlomili prve tri brskalnike, bodo prejeli 15.000 dolarjev, kar je 50 odstotkov več kot lani, medtem ko so za Chrome nekoliko drugačna pravila.

Ker Chrome...

5 komentarjev

Google po enem letu podelil najvišjo nagrado za lovce na hrošče v Chromu

vir: Google
Google - Po enem letu od začetka nagrajevanja prijavljenih lukenj v brskalniku Chrome je Google presodil, da si prvi prijavitelj zasluži najvišjo nagrado v višini 3133,7 dolarjev (za manjše ranljivosti se dobi 500, 1000 ali 1337 dolarjev). Sergey Glazunov prejme za svoje neutrudno lovljenje hroščev 3133,7 dolarjev in še osnovno nagrado v višini 1337 dolarjev ter trikrat po 1000 dolarjev. Ni slabo.

Glazunov je našel eno kritično ranljivost in štiri ranljivosti, ki so označene kot zelo pomembne. Skupno je Google v novi podverziji Chroma 8.0.552.237 popravil 13 pomembnih ranljivosti, kar jih je stalo približno 14 tisoč...

19 komentarjev

Z ranljivostmi se živahno trguje

Življenjski cikel zero day ranljivosti

Slashdot - Mnogokrat pišemo o tako imenovanih zero day ranljivostih programov, pri čemer se vedno obregamo na urnost proizvajalcev pri pripravi popravkov, redko pa se govori o ekonomski vrednosti teh ranljivosti. Kot so pokazali zadnji napadi, so zero day ranljivosti dragocene tako za napadalce kot tudi obrambo.

Kot pišejo v zanimivem članku na Net Security, je treba za odkritje kakšne kvalitetne luknje žrtvovati približno tri mesece trdega dela hekerjev. Ti zato na podzemnih trgih ranljivosti, ki so se razcveteli v zadnjem času, zanje zahtevajo več sto tisoč dolarjev. Na njih so poleg zlikovcev dejavne tudi vladne agencije, ki lahko cene navijejo tudi milijona dolarjev. Obstaja pa še beli trg, kjer sodelujejo podjetja, kot so VeriSign, TippingPoint in Google, ki kupujejo zero day ranljivosti z namenom pokrpati svoje izdelke,...

7 komentarjev