» »

Z ranljivostmi se živahno trguje

Z ranljivostmi se živahno trguje

Življenjski cikel zero day ranljivosti

Slashdot - Mnogokrat pišemo o tako imenovanih zero day ranljivostih programov, pri čemer se vedno obregamo na urnost proizvajalcev pri pripravi popravkov, redko pa se govori o ekonomski vrednosti teh ranljivosti. Kot so pokazali zadnji napadi, so zero day ranljivosti dragocene tako za napadalce kot tudi obrambo.

Kot pišejo v zanimivem članku na Net Security, je treba za odkritje kakšne kvalitetne luknje žrtvovati približno tri mesece trdega dela hekerjev. Ti zato na podzemnih trgih ranljivosti, ki so se razcveteli v zadnjem času, zanje zahtevajo več sto tisoč dolarjev. Na njih so poleg zlikovcev dejavne tudi vladne agencije, ki lahko cene navijejo tudi milijona dolarjev. Obstaja pa še beli trg, kjer sodelujejo podjetja, kot so VeriSign, TippingPoint in Google, ki kupujejo zero day ranljivosti z namenom pokrpati svoje izdelke, preden lahko napadalci povzročijo resno škodo.

Na splošno velika podjetja nerada plačujejo. Microsoft je znan po tem, da za javljene ranljivosti ne plača nič, ker da to ne bi podpiralo skupnostnega pristopa k varovanju strank prek kiberkriminalom. Google in Mozilla na primer nudita skromnih 500 dolarjev za odkrite hrošče in ranljivosti.

7 komentarjev

Pegaz ::

Če bi Microsoft plačeval za luknje, bi že zdavnaj bankrotiral.

r0ker ::

haha, dobra. globoka.
če bi vseh sto tisoče razvijalcev linux jedra in ostalih igračk bili plačani...
google da 1337 dolarjev za večjo ranljivost. in sami določijo kaj je večja ranljivost

680x0 ::

r0ker je izjavil:

če bi vseh sto tisoče razvijalcev linux jedra in ostalih igračk bili plačani...


Nekateri razvijalci Linux jedra so dobro plačani, Linus je bil milijonar pred svojim 30 letom, najbrž ne od plače na univerzi :)

denial ::

Pedram Amini, Mostrame la Guita, cenik
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

cryptozaver ::

A ni ceneje financirat testiranje softwera preden gre dotični na police?

Zgodovina sprememb…

amigo_no1 ::

Samo ob predpostavki, da bo exploit odkril pošten raziskovalec sistemov (in poslal spoznanje proizvajalcu, da le-ta izda popravek) :D.

techfreak :) ::

cryptozaver je izjavil:

A ni ceneje financirat testiranje softwera preden gre dotični na police?

Obseg testiranja je odvisen od samega produkta, napisati obširen software brez napak je pa nemogoče.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ranljivosti v Linuxu za pol milijona dolarjev, v iOS za poldrugi milijon

Oddelek: Novice / Varnost
63517 (2693) wechta
»

Izsiljevalski virusi napadajo tudi spletne strežnike na Linuxu

Oddelek: Novice / Kriptovalute
2012858 (10403) filipk
»

Milijonski vdor v iOS 9

Oddelek: Novice / Apple iPhone/iPad/iPod
4823365 (19475) nekikr
»

Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in Java

Oddelek: Novice / Varnost
137840 (5747) MrStein
»

Danes izredni popravek za ranljivost v Internet Explorerju

Oddelek: Novice / Varnost
388379 (6772) techfreak :)

Več podobnih tem