» »

Z ranljivostmi se živahno trguje

Življenjski cikel zero day ranljivosti

Življenjski cikel zero day ranljivosti

Slashdot - Mnogokrat pišemo o tako imenovanih zero day ranljivostih programov, pri čemer se vedno obregamo na urnost proizvajalcev pri pripravi popravkov, redko pa se govori o ekonomski vrednosti teh ranljivosti. Kot so pokazali zadnji napadi, so zero day ranljivosti dragocene tako za napadalce kot tudi obrambo.

Kot pišejo v zanimivem članku na Net Security, je treba za odkritje kakšne kvalitetne luknje žrtvovati približno tri mesece trdega dela hekerjev. Ti zato na podzemnih trgih ranljivosti, ki so se razcveteli v zadnjem času, zanje zahtevajo več sto tisoč dolarjev. Na njih so poleg zlikovcev dejavne tudi vladne agencije, ki lahko cene navijejo tudi milijona dolarjev. Obstaja pa še beli trg, kjer sodelujejo podjetja, kot so VeriSign, TippingPoint in Google, ki kupujejo zero day ranljivosti z namenom pokrpati svoje izdelke, preden lahko napadalci povzročijo resno škodo.

Na splošno velika podjetja nerada plačujejo. Microsoft je znan po tem, da za javljene ranljivosti ne plača nič, ker da to ne bi podpiralo skupnostnega pristopa k varovanju strank prek kiberkriminalom. Google in Mozilla na primer nudita skromnih 500 dolarjev za odkrite hrošče in ranljivosti.

7 komentarjev

Pegaz ::

Če bi Microsoft plačeval za luknje, bi že zdavnaj bankrotiral.
"Live as if you were to die tomorrow. Learn as if you were to live forever."
- Mahatma Gandhi

r0ker ::

haha, dobra. globoka.
če bi vseh sto tisoče razvijalcev linux jedra in ostalih igračk bili plačani...
google da 1337 dolarjev za večjo ranljivost. in sami določijo kaj je večja ranljivost

C=64 ::

r0ker je izjavil:

če bi vseh sto tisoče razvijalcev linux jedra in ostalih igračk bili plačani...


Nekateri razvijalci Linux jedra so dobro plačani, Linus je bil milijonar pred svojim 30 letom, najbrž ne od plače na univerzi :)

denial ::

Pedram Amini, Mostrame la Guita, cenik
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

cryptozaver ::

A ni ceneje financirat testiranje softwera preden gre dotični na police?

Zgodovina sprememb…

amigo_no1 ::

Samo ob predpostavki, da bo exploit odkril pošten raziskovalec sistemov (in poslal spoznanje proizvajalcu, da le-ta izda popravek) :D.

techfreak :) ::

cryptozaver je izjavil:

A ni ceneje financirat testiranje softwera preden gre dotični na police?

Obseg testiranja je odvisen od samega produkta, napisati obširen software brez napak je pa nemogoče.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Z ranljivostmi se živahno trguje

Oddelek: Novice / Omrežja / internet
72899 (1283) techfreak :)
»

Pisci Stuxneta bodisi površni bodisi nevešči

Oddelek: Novice / Omrežja / internet
375695 (2467) Jst
»

Hewlett-Packard prevzema 3Com

Oddelek: Novice / Nakupi / združitve / propadi
71581 (1244) ALT
»

Odkrita resna varnostna ranljivost v Firefox 3 (strani: 1 2 )

Oddelek: Novice / Varnost
506107 (3495) CaqKa
»

0-day exploits = 0-year exploits

Oddelek: Novice / Varnost
152825 (1729) MrStein

Več podobnih tem