»

Evropska komisija s programom za nagrajevanje odkritih ranljivosti v odprti kodi

Slo-Tech - Programi za nagrajevanje odkritih ranljivosti v programski opremi niso nič novega, saj proizvajalci na ta način vzpodbujajo etično razkrivanje lukenj v svojih izdelkih. Nekoliko teže je to z odprtokodno programsko opremo, ki običajno nima finančno močnega zaledja. Evropska komisija je zato na platformi Intigriti zagnala program za nagrajevanje prijavljenih ranljivosti v odprtokodnih programih. Na voljo je 200.000 evrov, najvišja nagrada pa lahko znaša 5000 evrov za najresnejše ranljivosti. Še 20 odstotkov bodo primaknili, če bo prijavitelj ponudil tudi kodo za zakrpanje ranljivosti.

Nagrajevali bodo luknje v LibreOfficeu, Mastodonu, Odooju, Cryptpadu in LEOS-u. Iščejo se zlati ranljivosti, ki so povezane z odtekanjem osebnih podatkov, vertikalno ali horizontalno eskalacijo privilegijev ter SQLi. Izbrali so programsko opremo, ki jo uporabljajo javne službe Evropske unije. Evropska komisija je že leta 2020 ustanovila Pisarno za odprtokodne programe (EC Open Source Programme Office),...

7 komentarjev

Apple ponuja milijon dolarjev za odkrite ranljivosti

Slo-Tech - Apple je na konferenci Black Hat naznanil korenito spremembo svojega programa za nagrajevanje odkriti ranljivosti (bug bounty), s čimer želi vzpodbuditi raziskovalce, da bi najdene luknje raje delili z Applom kot s preprodajalci. Slednji namreč ponujajo bistveno višje zneske kakor proizvajalci. Zato bo odslej Apple bolj razvezal mošnjiček, je povedal vodja varnosti in arhitekture pri Applu Ivan Krstić.

Najvišja nagrada po novem znaša okrogel milijon dolarjev, kolikor Apple ponuja za odkritje načina, kako oddaljeno in brez uporabnikove interakcije pridobiti popolni in trajni nadzor nad iOS. Dostop do osebnih podatkov brez interakcije prinese pol milijona dolarjev, številne druge ranljivosti pa od 100.000 do 250.000....

7 komentarjev

Microsoft povečuje nagrade za odkrite hrošče

Slo-Tech - Microsoft, ki ima že sedaj enega večjih in radodarnejših programov za nagrajevanje odkritih in prijavljenih hroščev, povečuje nagradni sklad. Lani so iz tega naslova izplačali več kot dva milijona dolarjev, sedaj pa povečujejo nagrade in pospešujejo izplačila.

Od letos bodo v okviru programa Windows Insider Preview nagrade znašale do 50.000 dolarjev, medtem ko so bile doslej omejene na 15.000 dolarjev. Podobno velja za Microsoft Cloud Bounty, kjer bo namesto...

2 komentarja

Švicarski sistem e-volitev luknjičav kot švicarski sir

Slo-Tech - Pred mesecem dni so Švicarji zagnali javni preizkus varnosti sistema za izvedbo e-volitev. Sistem, ki ga je postavila Švicarska pošta v sodelovanju s španskim tehnološkim partnerjem Scytl, je bil razgaljen vključno z izvorno kodo, hekerji pa so za odkritje in izrabo ranljivosti tudi nagrajeni. Čeprav preizkusno obdobje sploh še ni končano, je že jasno, da je imel sistem hudo ranljivost.

Več raziskovalnih skupin je, neodvisno druga od druge, odkrilo resno ranljivost v sistemu. Tako imenovana univerzalna preverljivost, ki je za e-volitve ključna in omogoča enoznačno ponovno štetje glasov, kakor je to mogoče tudi s papirnimi glasovnicami, je vsebovala to ranljivost. Zaradi napake v kriptografskem modelu je bilo mogoče spreminjati glasove, ne da bi bilo to moč opaziti pri preveritvi...

34 komentarjev

Yahoo bo začel nagrajevati ranljivosti z več kot le majicami

Yahoo News - Najdražji in najbolj nehvaležen del pisanja programske opreme je testiranje in iskanje ranljivosti. Neposredne dodane vrednosti to ne prinaša, zgolj stroške, a lahko prihrani velike stroške v prihodnosti. Podjetja poizkušajo to delo naprtiti zunanjim izvajalcem na različne načine, pri čemer je eden izmed najučinkovitejših načinov nagrajevanje ranljivosti. Nekaj stotakov ali tisočakov za odkrito ranljivost je malenkost v primerjavi s ceno, ki bo jo imel redno zaposleni strokovnjak ali bolje cela armada takih ljudi v podjetju. Zato ni presenetljivo, da imajo Facebook, Google, Mozilla, Microsoft in številna druga podjetja posebne programe (bug bounty), kako finančno nagradijo prijavljene ranljivosti.

Yahoo pa tega doslej ni imel. Kdor je Yahooju poslal podatke o...

2 komentarja

Mega izplačuje prve nagrade za odkrite ranljivosti

TheNextWeb - Ko je januarja z velikim pompom izšla stran Mega, so bili odzivi precej mešani. Nekateri so nov digital locker, kjer je vsebina šifrirana in zato nedosegljiva vsem razen lastniku, pohvalili, drugi so tarnali nad številnimi ranljivostmi. Ustanovitelj Kim Dotcom je svojo stvaritev vzel v bran in dejal, da njihova implementacija ostaja nezlomljiva in razpisal nagrado 10.000 evrov za vsako večjo ranljivost, ki jo odkrijemo.

Te so razdelili v šest razredov od najresnejših do zgolj teoretično uporabnih. Do danes je bilo odkritih že sedem ranljivosti, ki so jih medtem že popravili in izplačali prve nagrade. Od tega je ena ranljivost četrtega razreda, tri tretjega, ena drugega in dve prvega. Dotcom je resno mislil z najavo nagrajevanja odkritih ranljivosti, saj so prve izplačila že...

3 komentarji

VUPEN že odkril ranljivosti v Windows 8

VUPEN-ova ekipa v Vancouvru letos. Bekrer stoji v sredini.

TheNextWeb - O nekoliko skrivnostnem francoskem podjetju VUPEN običajno beremo, ko objavljamo rezultate hekerskih tekmovanj. Tam navadno zasedajo prva mesta in uspešno razbijajo zaščito v vseh najnovejših operacijskih sistemih in brskalnikih (zelo uspešni so, recimo, na Pwn2Own). A VUPEN je še marsikaj drugega. In včeraj so objavili, da so v Windows 8 in Internet Explorerju 10 našli nekaj neodkritih ranljivosti. Nas mora skrbeti?

Letos marca smo obširneje pisali o poslu, s katerim se ukvarjajo. VUPEN ima zaposlene vrhunske strokovnjake, ki iščejo ranljivosti v popularni programski opremi. Vsak trenutek imajo na zalogi kopico proizvajalcem neznanih ranljivosti (0-day), ki jih prodajajo zainteresiranim strankam. VUPEN odkritih ranljivosti ne obeša na veliki...

13 komentarjev

Facebook širi program nagrajevanja odkritih ranljivosti

Bloomberg - Facebook se je lani pridružil Googlu in Mozilli ter začel finančno nagrajevati odkrite ranljivosti. Kdor v njihovih izdelkih najde kakšno luknjo in jo javi Facebooku, lahko prejme od 500 do 10.000 dolarjev, odvisno od resnosti odkrite ranljivosti. Do danes so razdelili že 400.000 dolarjev. Sedaj pa se je Facebook odločil, da bodo svoj program razširili in začeli nagrajevati tudi posameznike, ki bodo odkrili luknje v Facebookovem notranjem komunikacijskem omrežju (torej v informacijski hrbtenici podjetja) in ne le v končnih izdelkih.

To odločitev je vzpodbudil majski dogodek, ko so dobili poročilo, da je nekdo odkril veliko luknjo v njihovem notranjem omrežju. Hitro so jo zakrpali, nato...

5 komentarjev

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

VUPEN-ova ekipa v Vancouvru letos. Bekrer stoji v sredini.

Forbes - Letos je v Vancouvru na tekmovanju Pwn2Own zelo hitro padel Googlov brskalnik Chrome, ki je bil lani edini nedotaknjen. Razbila ga je francoska skupina hekerjev oziroma raziskovalcev iz podjetja VUPEN, ki ima z Googlom in ostalimi proizvajalci programske opreme precej zapleten odnos. Ko so na primer lani maja objavili napad na Chrome, ki je omogočil poganjanje poljubne izvršljive kode, Googlu ali kam drugam na splet niso posredovali podrobnosti o napadu. Google je tedaj odvrnil, da gre za luknjo v vtičniku za Flashu in da to v resnici "ni njihov problem", na kar je VUPEN odgovoril, da pa je vseeno problem za uporabnike, saj je Flash luknja delovala na privzeti različici Chroma z že vključenim Flashem.

VUPEN je resda francosko varnostno podjetje,...

40 komentarjev

Google po enem letu podelil najvišjo nagrado za lovce na hrošče v Chromu

vir: Google
Google - Po enem letu od začetka nagrajevanja prijavljenih lukenj v brskalniku Chrome je Google presodil, da si prvi prijavitelj zasluži najvišjo nagrado v višini 3133,7 dolarjev (za manjše ranljivosti se dobi 500, 1000 ali 1337 dolarjev). Sergey Glazunov prejme za svoje neutrudno lovljenje hroščev 3133,7 dolarjev in še osnovno nagrado v višini 1337 dolarjev ter trikrat po 1000 dolarjev. Ni slabo.

Glazunov je našel eno kritično ranljivost in štiri ranljivosti, ki so označene kot zelo pomembne. Skupno je Google v novi podverziji Chroma 8.0.552.237 popravil 13 pomembnih ranljivosti, kar jih je stalo približno 14 tisoč...

19 komentarjev