»

Microsoft povečuje nagrade za odkrite hrošče

Slo-Tech - Microsoft, ki ima že sedaj enega večjih in radodarnejših programov za nagrajevanje odkritih in prijavljenih hroščev, povečuje nagradni sklad. Lani so iz tega naslova izplačali več kot dva milijona dolarjev, sedaj pa povečujejo nagrade in pospešujejo izplačila.

Od letos bodo v okviru programa Windows Insider Preview nagrade znašale do 50.000 dolarjev, medtem ko so bile doslej omejene na 15.000 dolarjev. Podobno velja za Microsoft Cloud Bounty, kjer bo namesto...

2 komentarja

Ranljivosti v oblačni programski opremi gredo za pol milijona dolarjev

Slo-Tech - Zerodium, znano podjetje, ki se ukvarja z odkupovanje in preprodajo ranljivosti v programski opremi, je sporočilo, da bo odkupilo informacije o ranljivostih v programski opremi za storitve v oblaku, denimo v VMware ESXi (VSphere) ali Microsoft Hype-V. Za ranljivosti, ki delujejo na običajno nastavljenih napravah in omogočijo pobeg od gostitelja do gosta (Guest-to-Host escape), ponujajo do 500.000 dolarjev. Čeprav se to sliši veliko, pa gre v resnici za precej nizek znesek za resnično neznane (0day) ranljivosti.

Zerodium, ki ga je ustanovil Chaouki Bekrar, ki je bil znan kot vodja francoskega VUPEN-a, namreč ni edini igralec, ki odkupuje ranljivosti. Hudo konkurenco ima tudi v državnih ustanovah, denimo v ameriški NSA. Ta naj bi imela precej velik arzenal ranljivosti in tudi...

0 komentarjev

Ranljivosti v Linuxu za pol milijona dolarjev, v iOS za poldrugi milijon

Slo-Tech - Čeprav številni proizvajalci programske opreme ponujajo nagrade za odkrite in prijavljene ranljivosti, pa lahko sposobni strokovnjaki zaslužijo bistveno več, če odkritih lukenj ne prijavijo proizvajalcu ali obešajo na veliki zvon, temveč jih prodajo specializiranim podjetjem, ki trgujejo z njimi. Eno najbolj znanih je Zerodium, ki ga je ustanovil francoski strokovnjak Chaouki Bekrar. Pred tem je bil ustanovil tudi skupino VUPEN, ki je bila znana kot eden najuspešnejših udeležencev hekerskih tekmovanj, kot je Pwn2Own, in kot velik preprodajalec ranljivosti različnim državnim službam po celem svet. Zerodium redno odkupuje ranljivosti po visokih cenah, občasno pa objavi posebno akcijo, kadar potrebuje ranljivost za točno...

6 komentarjev

Cene za ranljivosti v programski opremi rastejo

Slo-Tech - Podjetje Zerodium, ki se ukvarja z iskanjem, nakupovanjem in prodajo ranljivosti v programski opremi, je včeraj znatno povišalo cene, po katerih je pripravljeno odkupiti ranljivosti v različni programski opremi. Nekateri to vidijo kot znak, da postaja programska oprema čedalje varnejša in da so ranljivosti čedalje redkejše, drugi pa se bojijo, da to kaže na povečano povpraševanje po ranljivostih s strani državnih agencij.

Zerodium je ustanovil francoski strokovnjak za računalniško varnost Chaouki Bekrar, ki je bil pred tem ustanovil tudi skupino VUPEN, ki je bila znana kot eden najbolj plodnih udeležencev hekerskih tekmovanj, kot je Pwn2Own. VUPEN je odkrite ranljivosti tudi prodajal,...

6 komentarjev

Za vdor v iPhone poldrugi milijon dolarjev

Slo-Tech - Ranljivost, ki omogoča prevzem nadzora nad iPhonom ali iPadom, je vredna vsaj 1,5 milijona dolarjev. Toliko namreč zanje ponuja zloglasno podjetje Zerodium, ki ga vodi Chaouki Bekrar, ki je znan kot vodja francoskega VUPEN-a.

Zerodium se ukvarja z iskanjem in zbiranjem ranljivosti v programski opremi, informacije o katerih potem prodajajo zainteresiranim strankam, med katerimi so velika podjetja in številne državne agencije po svetu. To je izvrsten posel, v katerem se vrtijo milijoni, in tudi precej skrivnosten posel. Ranljivosti javno ne izpostavljajo, prav tako o njih ne obveščajo proizvajalcev. Pred letom dni so na primer za vdor v iPhone razpisali nagrado v višini milijona dolarjev in jo tudi izplačali.

V vmesnem času se je zaščita Applovih izdelkov izboljšala,...

6 komentarjev

Milijonski vdor v iOS 9

Wired News - Podjetje Zerodium, ki ga vodi znani Chaouki Bekrar, je sporočilo, da so izplačali milijon dolarjev neimenovani skupini, ki je našla zero-day ranljivosti v najnovejšem Applovem operacijskem sistemu iOS 9.1. Te omogočajo prevzem nadzora ob obisku neke spletne strani, ne da bi uporabnik to vedel.

Bekrar je znan predvsem kot vodja francoskega podjetja VUPEN, ki se ukvarja z zbiranjem, odkrivanjem in predvsem preprodajo podatkov o neznanih ranljivostih v programski opremi. Njihove stranke so obveščevalne agencije, velike korporacije ter vojaški opremljevalci. VUPEN je v preteklosti povzročil že precej ogorčenja, ker javno priznavajo, da nimajo nobenega namena obveščati proizvajalcev o ranljivostih ali jih celo javno...

48 komentarjev

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

VUPEN-ova ekipa v Vancouvru letos. Bekrer stoji v sredini.

Forbes - Letos je v Vancouvru na tekmovanju Pwn2Own zelo hitro padel Googlov brskalnik Chrome, ki je bil lani edini nedotaknjen. Razbila ga je francoska skupina hekerjev oziroma raziskovalcev iz podjetja VUPEN, ki ima z Googlom in ostalimi proizvajalci programske opreme precej zapleten odnos. Ko so na primer lani maja objavili napad na Chrome, ki je omogočil poganjanje poljubne izvršljive kode, Googlu ali kam drugam na splet niso posredovali podrobnosti o napadu. Google je tedaj odvrnil, da gre za luknjo v vtičniku za Flashu in da to v resnici "ni njihov problem", na kar je VUPEN odgovoril, da pa je vseeno problem za uporabnike, saj je Flash luknja delovala na privzeti različici Chroma z že vključenim Flashem.

VUPEN je resda francosko varnostno podjetje,...

40 komentarjev

Internet Explorer 9 padel v Pwn2Own

ZDNet - Naslednji brskalnik, ki je padel na letošnjem hekerskem tekmovanju Pwn2Own v kanadskem Vancouvru, je Internet Explorer. Po tem ko je francoska skupina VUPEN takoj po začetku tekmovanja razsula Googlov Chrome (Chrome sicer letos tehnično ni del uradnega Pwn2Own, a to ni pomembno), so sedaj uspešno kompromitirali še računalnik s sveže nameščenim Windows 7 SP1 in Internet Explorerjem 9 z vsemi popravki.

Chaouki Bekrar iz VUPEN-a pojasnjuje, da so uporabili zelo staro ranljivost, povezano s prekoračitvijo kopice (heap overflow), s čimer so obšli DEP in ASLR, in nepovezano ranljivost v upravljanju s pomnilniškim prostorom. Luknja se je prvikrat pojavila že v Internet Explorerju 6 in do danes ni bila javno razkrita, tako da...

49 komentarjev