Forbes - Letos je v Vancouvru na tekmovanju Pwn2Own zelo hitro padel Googlov brskalnik Chrome, ki je bil lani edini nedotaknjen. Razbila ga je francoska skupina hekerjev oziroma raziskovalcev iz podjetja VUPEN, ki ima z Googlom in ostalimi proizvajalci programske opreme precej zapleten odnos. Ko so na primer lani maja objavili napad na Chrome, ki je omogočil poganjanje poljubne izvršljive kode, Googlu ali kam drugam na splet niso posredovali podrobnosti o napadu. Google je tedaj odvrnil, da gre za luknjo v vtičniku za Flashu in da to v resnici "ni njihov problem", na kar je VUPEN odgovoril, da pa je vseeno problem za uporabnike, saj je Flash luknja delovala na privzeti različici Chroma z že vključenim Flashem.
VUPEN je resda francosko varnostno podjetje, a njegov poslovni model je na meji zakonitega - ves čas budno pazijo, da na pravi strani meje, kot lahko preberemo v Forbesu. VUPEN namreč z ranljivostmi trguje na sivem trgu in s tem služi težke milijone.
Njihova politika je, da odkritih ranljivosti niti slučajno ne razkrivajo proizvajalcem programske opreme. Ti sicer ponujajo finančno vzpodbudo, a je ta zelo nizka - običajno gre za nekaj deset tisoč dolarjev ali pa še manj. Na črnem trgu, kjer VUPEN sicer ne deluje, cene dosegajo šestmestne zneske, nič kaj drugače pa ni niti na sivem trgu. VUPEN namreč odkrite ranljivosti zadrži za lastne stranke. Te letno plačujejo 100.000 dolarjev samo za naročnino, s čimer dobijo šele pravico, da kupujejo informacije o ranljivostih za bistveno višje zneske. Nato lahko od VUPEN-a odkupijo ranljivosti za želen program, ki jim omogočajo neopazno in večidel nezakonito prisluškovanje in vdiranje. VUPEN-ovi naročniki so po njegovih besedah prozahodne vlade in obveščevalne organizacije, medtem ko tako imenovanim nedemokratičnim režimom podatkov ne prodajajo. Vsak kupec dobi informacije, ki zadostujejo za popolno izkoriščanje ranljivosti, podpisati pa mora pogodbo o nerazkritju tretjim stranem. Kaj se z ranljivostjo zgodi potem, VUPEN-a ne zanima, saj je informacije po prodaji nemogoče nadzorovati. Povsem mogoče je, da pristanejo v napačnih rokah.
VUPEN-ov ustanovitelj in direktor Chaouki Bekrar pojasnjuje, da njihovo podjetje posluje transparentno za razliko od konkurence (Netragard, ENdgame, Northrop Grumman, Raytheon ...), ki je v istem poslu. Kljub temu ni podatkov o prihodkih podjetja in cenah, ki jih ranljivosti dosegajo. Neuradne informacije enega izmed posrednikov, ki povezuje prodajalca s kupci v različnih državah, pričajo o milijonskih zneskih za eno ranljivost. VUPEN se medtem hvalisa, da imajo na zalogi neodkrite in nepoznane ranljivosti za vsak kos priljubljene programske opreme. S tem lahko dobesedno izsiljujejo, saj ceno postavljajo sami. Kupci dobro vedo, da bo ranljivost kupil in zlorabil še kdo drug, zato jo morajo tudi sami, ne glede na ceno.
Bekrar je VUPEN ustanovil leta 2008 in je njegovo tretje podjetje. K-Otik in FrSIRT, ki sta delovala pred tem, sta najdene ranljivosti javno razkrivala. Tako je sprva posloval tudi VUPEN, a so kmalu odkrili, da se da z drugačnim poslovnim modelom zaslužiti precej več denarja. Google javno obsoja Bekrarja kot neetičnega oportunista, medtem ko slednji poudarja, da niso dobrodelna organizacija in da ne garajo zato, da bi olajšali delo multinacionalkam, ki se valjajo v denarju. Raje svoj lonček pristavijo tudi sami.
Novice » Varnost » Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone
para! ::
medtem ko slednji poudarja, da niso dobrodelna organizacija in da ne garajo zato, da bi olajšali delo multinacionalkam, ki se valjajo v denarju. Raje svoj lonček pristavijo tudi sami.
Pravilno. Ne vem zakaj bi se sicer ukvarjali z odkrivanjem ranljivosti, če ne za denar? Saj so vendar 3rd party, naloga iskanja lukenj je primarno v proizvajalcu programske opreme.
Služijo pa zato, ker Google in podobni delajo luknjičast software.
lp
Death before dishonor!
para! ::
Ja, verjetno nihče, ampak to za VUPEN ne more bit problem, ampak poslovna priložnost. Ne vem zakaj bi zastonj (ali za drobiž) opravljali delo, ki bi ga moral opravljat že proizvajalec. Jah, ni jim treba.
lp
lp
Death before dishonor!
Roadkill ::
Ma to je tko to.. na pol kretensko.
Jah odvisno s katerega zornega kota gledaš.
Oni v iskanje ranljivosti vložijo veliko truda (ur) in ogromno znanja. Opravljajo delo, ki bi ga morali narediti že proizvajalci programske opreme.
Moraš imeti zelo zanimive interese, da to delaš brezplačno.
S tem, ko za visoke zneske prodajajo exploite silijo podjetja (google & co), da so začeli ponujati denarne nagrade za ranljivosti. Še par let nazaj ni bilo firme, ki bi ponujala denar, če exploitaš njihov program. Sedaj to počne že nekaj podjetji.
VUPEN pač dviguje ceno exploitom. V parih letih bodo podjetja ponujala že tako veliko vsoto, da se bo morda tudi VUPEN splačalo prodajati direktno googlu in ostalim.
Oziroma bo na koncu to početje pripeljalo velika podjetja do tega, da bo ceneje luknje iskati in-house, kot da ponujajo velike zneske posameznikom.
S tega kota je tako početje pozitivno, saj bo prisilili podjetja, da v varnost aplikacij namenijo več denarja. V tem trenutku je moteče le to, da podjetja niso pripravljena plačati take cene kot jo je pripravljen plačati sivi/črni trg.
Ü
Iatromantis ::
Pa saj ne morem verjet kakšni komentarji. Govor ni o brezplačnosti-plačljivosti ampak o vsebini njihovega početja. V modernih pravnih državah naj bi bile te stvari urejene po zakonu, a kot priznava sam Forbes, je to 'sivi' trg, ki bi ga imenovali 'črni', če ne bi storitev ponujale inkorporirane osebe, ampak npr. 'hekerji'.
Privatizacija obveščevalne dejavnosti je ravno tako moralno sporna, kot privatizacija vojske, za katero imamo že vso zgodovino lepo besedo - plačanci. Torej, ali imajo v moderni družbi zasebne entitete pravico kršiti zasebnost posameznikov in konkurenčnih firm?
Malo smo se o tem pogovarjali že lansko leto po vdoru v HBGary, ki je dodobra razkril obseg njihovega ilegalnega dela, kar je sprožilo celo kongresno preiskavo. O tem sem pisal v članku Korporativno-državni malware
Poleg VUPENa pa podobna vprašanja prihajajo na plano tudi ob lanskem vdoru v Stratfor, še eno zasebno obveščevalno službo, kjer so se meje med javnim in zasebnim pobrisale in se prodaja tudi še zaupne informacije iz državne sfere na komercialnih trgih. Tudi o tem sem skušal 'poročati' na svojem blogu.
Privatizacija obveščevalne dejavnosti je ravno tako moralno sporna, kot privatizacija vojske, za katero imamo že vso zgodovino lepo besedo - plačanci. Torej, ali imajo v moderni družbi zasebne entitete pravico kršiti zasebnost posameznikov in konkurenčnih firm?
Malo smo se o tem pogovarjali že lansko leto po vdoru v HBGary, ki je dodobra razkril obseg njihovega ilegalnega dela, kar je sprožilo celo kongresno preiskavo. O tem sem pisal v članku Korporativno-državni malware
Poleg VUPENa pa podobna vprašanja prihajajo na plano tudi ob lanskem vdoru v Stratfor, še eno zasebno obveščevalno službo, kjer so se meje med javnim in zasebnim pobrisale in se prodaja tudi še zaupne informacije iz državne sfere na komercialnih trgih. Tudi o tem sem skušal 'poročati' na svojem blogu.
BALAST ::
Saj na sivem trgu lahko posluje tudi vojaška obveščevalna in ostale državne organizacije.
Če bi vi vedeli koliko so bili američani pripravljeni plačat za te ranljivosti določenih storitev v Alžiriji, Egiptu, Iraku...
Če bi vi vedeli koliko so bili američani pripravljeni plačat za te ranljivosti določenih storitev v Alžiriji, Egiptu, Iraku...
"You may fool all the people some of the time;
you can even fool some of the people all the time;
but you can't fool all of the people all the time."
you can even fool some of the people all the time;
but you can't fool all of the people all the time."
MajorM ::
Meni se to zdi kaznivo.
Torej če jaz na nek način ugotovim podatke kreditne kartice nekoga, to ni kraja ampak "pomanjkljivost" v zaščiti podatko, in lahko potem brez težav to informacijo prodam naprej.
Kaj bo nekdo potem s to odkrito "pomanjkljivostjo" naredil ni moja odgoornost. Samo, da jaz masnto zaslužim.
Torej če jaz na nek način ugotovim podatke kreditne kartice nekoga, to ni kraja ampak "pomanjkljivost" v zaščiti podatko, in lahko potem brez težav to informacijo prodam naprej.
Kaj bo nekdo potem s to odkrito "pomanjkljivostjo" naredil ni moja odgoornost. Samo, da jaz masnto zaslužim.
para! ::
Ne zdaj vlečt smešnih analogij, ker namreč obstaja tudi zakon, ki pravi, da je lastnik avta sokriv za krajo, če ga pusti odklenjenega in bi potemtakem lahko tak zakon povlekel kot protiargument za nelegalnost VUPENovega početja.
Fantje so očitno top strokovnjaki in smešno bi se mi zdelo, da bi ranljivosti sporočali Googlu in podobnim za tako smešno nizke vsote kot jih ti ponujajo. Odraslim ljudem pa slava in frontpage fotka na nekih portalih pomeni dosti, dosti manj kot denar.
lp
Fantje so očitno top strokovnjaki in smešno bi se mi zdelo, da bi ranljivosti sporočali Googlu in podobnim za tako smešno nizke vsote kot jih ti ponujajo. Odraslim ljudem pa slava in frontpage fotka na nekih portalih pomeni dosti, dosti manj kot denar.
lp
Roadkill ::
MajorM: Kaj pa primer, da ugotoviš (po enem letu težkega analiziranja sistema), da imajo vse bančne kartice backup kodo "1111" ki prime na vseh bankomatih NLB?
Samo ti veš to informacijo.
Kako bi reagiral?
Samo ti veš to informacijo.
Kako bi reagiral?
Ü
Zgodovina sprememb…
- spremenil: Roadkill ()
BALAST ::
Seveda se ti zdi kaznivo, ampak ne dojameš da vojaške operacije na tujem ozemlju so tudi sivo področje, pa se nihče ne sekira toliko o žrtvah civilistov.
Pa je vsak vojaški proračun potrjen s strani državne vlade ali vladarja. Le da smrtniki niti ne vemo natančno koliko denarja je šlo v municijo in koliko za prisluškovanje ali hekanje "zlobne/teroristične države".
P.S. anti-terorizem je danes preveč splošna oznaka, ki jo večina pristašev NWO razume kot patriotsko dejanje.
Pa je vsak vojaški proračun potrjen s strani državne vlade ali vladarja. Le da smrtniki niti ne vemo natančno koliko denarja je šlo v municijo in koliko za prisluškovanje ali hekanje "zlobne/teroristične države".
P.S. anti-terorizem je danes preveč splošna oznaka, ki jo večina pristašev NWO razume kot patriotsko dejanje.
"You may fool all the people some of the time;
you can even fool some of the people all the time;
but you can't fool all of the people all the time."
you can even fool some of the people all the time;
but you can't fool all of the people all the time."
MajorM ::
Torej, če se že v začetku ukvarjaš z odkrivanjem ranljivosti v sistemih katerega izdelovalec te ni najel, potem to počneš ali zaradi osebnega veselja ali pa da to infomracijo posreduješ tretji osebi. Pri tem bi rekel da večino kupcev takih podatkov verjetno načrtuje zlorabo takšne informacije.
Torej bi moral biti odgovoren.
@Roadkill
Ne morem reči zagotovo. Verjetno bi se poizkušal spogajati za kakšno plačilo s strani ponudnika storitve (v tvojem primeru NLB). V kolikor to ne bi bilo možno pa ne vem, upam da bi naredil kar je prav. Torej nesel zadevo s sabo v grob.
@Ballast
Ja Balast, vsaka nacija odgovarja in nosi posledice vojne. Poraženci večje (posledice).
Torej bi moral biti odgovoren.
@Roadkill
Ne morem reči zagotovo. Verjetno bi se poizkušal spogajati za kakšno plačilo s strani ponudnika storitve (v tvojem primeru NLB). V kolikor to ne bi bilo možno pa ne vem, upam da bi naredil kar je prav. Torej nesel zadevo s sabo v grob.
@Ballast
Ja Balast, vsaka nacija odgovarja in nosi posledice vojne. Poraženci večje (posledice).
para! ::
Pri tem bi rekel da večino kupcev takih podatkov verjetno načrtuje zlorabo takšne informacije.
Am, halo? Od kdaj je namen kupca problem prodajalca?
lp
Death before dishonor!
SkipEU ::
Če nekdo pomanjkljivost odkrije in to informacijo proda naprej, še ne more biti kaznivega dejanja. To je lahko šele, ko nekdo ta podatek uporabi, da naredi škodo. Če pustiš denarnico na plaži na brisači - a je kriv tisti, ki jo je pustil; ali je kriv tisti, ki jo je vzel in delal packarije?
MajorM ::
@para!
Recimo da najdem tvojo denarnico s kreditnimi karticami. Torej jo lahko mirne vesti prodam naprej? Kaj pa mene briga, da kupec ne bo vrnil denarnico tebi...
Torej, da ne preraste debata v prerekanje...meni se zdi tole moralno sporno. Od posameznika pa je odvisno koliko se bo za katero stvar sekiral. Eni bi se, drugi morijo pa zaradi tega ne zgubijo minute spanca.
Recimo da najdem tvojo denarnico s kreditnimi karticami. Torej jo lahko mirne vesti prodam naprej? Kaj pa mene briga, da kupec ne bo vrnil denarnico tebi...
Torej, da ne preraste debata v prerekanje...meni se zdi tole moralno sporno. Od posameznika pa je odvisno koliko se bo za katero stvar sekiral. Eni bi se, drugi morijo pa zaradi tega ne zgubijo minute spanca.
SkipEU ::
Sama transakcija ni škodljiva - če ti prodaš denarnico naprej nekomu, to pomeni, da tisti nje pričakuje nek profit. Če on to denarnico vrne in mu ta da nagrado 50 evrov, tebi pa je dal 10 za odkup, v takšni transakciji ne vidim problema - ni bilo povzročene nobene škode. Če zlorabiš npr. kartice, pa nastane kaznivo dejanje, saj mu s tem delaš škodo.
Manu ::
Njihovo poslovanje je neetično.
Lahko bi namesto da iščejo ranljivosti sami napisali kak program in ga prodajali kot neranljivega. S tem bi se izognili nemoralnemu početju.
Lahko bi namesto da iščejo ranljivosti sami napisali kak program in ga prodajali kot neranljivega. S tem bi se izognili nemoralnemu početju.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.
po poti gre kot hiter konj, ki je prehitel šibko kljuse.
Isotropic ::
@Roadkill
Ne morem reči zagotovo. Verjetno bi se poizkušal spogajati za kakšno plačilo s strani ponudnika storitve (v tvojem primeru NLB). V kolikor to ne bi bilo možno pa ne vem, upam da bi naredil kar je prav. Torej nesel zadevo s sabo v grob.
googlaj za primerom Škulj. tam je pocel isto, pa so dali ovadbo proti njemu zaradi izsiljevanja. poleg tega rabis za tako analiziranje sistema verjetno notranji dostop, s katerim lahko kar pozabis na kaj vec kot kaksno nagrado
Highlag ::
Ne vem zakaj jih ne tožijo, ker ne uporabljajo programske opreme v skladu z licencami. Ponavadi piše tole:
No Modification or Reverse Engineering. You shall not modify, adapt, translate, or create derivative
works based upon the Software. You shall not reverse engineer, decompile, disassemble, or otherwise
attempt to discover the source code of the Software.
Iskanje lukenj in njihovo iskanje bi lahko padlo pod tole. Ali pač ne?
No Modification or Reverse Engineering. You shall not modify, adapt, translate, or create derivative
works based upon the Software. You shall not reverse engineer, decompile, disassemble, or otherwise
attempt to discover the source code of the Software.
Iskanje lukenj in njihovo iskanje bi lahko padlo pod tole. Ali pač ne?
Never trust a computer you can't throw out a window
Reycis ::
Škulj primer je bil hecen. Meni bi bilo sram pristopiti k NLB za odkup, ce bi odkril tako ranljivost kot jo je on.
Phantomeye ::
Prodaja ranljivosti ne more bit kaznivo dejanje, ker pač ni. Ce jst nekomu prodam pištolo ne morem vedt ali bo z njo streljal ljudi ali pa jo bo pobarval na roza in nalimal na steno.
SuperVeloce ::
...
@Roadkill
Ne morem reči zagotovo. Verjetno bi se poizkušal spogajati za kakšno plačilo s strani ponudnika storitve (v tvojem primeru NLB). V kolikor to ne bi bilo možno pa ne vem, upam da bi naredil kar je prav. Torej nesel zadevo s sabo v grob.
@Ballast
Ja Balast, vsaka nacija odgovarja in nosi posledice vojne. Poraženci večje (posledice).
Je bil primer, ko se je NLB-ju hotelo prodati rešitev za ogromno kozlarijo (beri nedopustlivo pomankljivost). Če me spomin ne vara, se je najditelj/avtor rešitve zaradi pritiskov s strani NLB obesil. Koliko je nesel v grob, pa ne vem.
Koliko zmagovalna nacija nosi posledic v vojnah, vsi vemo, sploh v primeru "svetovnega policaja".
Se obnašajo tako kot nekateri naši policisti, vedno imajo prav in nikoli nič krivi.
Škulj primer je bil hecen. Meni bi bilo sram pristopiti k NLB za odkup, ce bi odkril tako ranljivost kot jo je on.
Kakšna pa je to bila? namreč Takrat sem bil še premlad (osnovnošolec), da bi toliko razumel stvari iz IT tech...
ryzen 5900x, MSI 5700xt Gaming X, 2x16GB 3600CL16, 850evo+860qvo, Fractal Mini C
Zgodovina sprememb…
- spremenil: SuperVeloce ()
gruntfürmich ::
Njihovo poslovanje je neetično.
Lahko bi namesto da iščejo ranljivosti sami napisali kak program in ga prodajali kot neranljivega. S tem bi se izognili nemoralnemu početju.
hja. čigavo poslovanje pa ni neetično? miljoni kitajčkov ki garajo za par $$ pa ni?
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...
Highlag ::
Eh če primerjaš s pištolo. V EULI piše, da pištole ne smeš razdirati. Tudi piše, da ne smeš uporabljat za to kar oni niso predvideli.
Never trust a computer you can't throw out a window
Phantomeye ::
Eh če primerjaš s pištolo. V EULI piše, da pištole ne smeš razdirati. Tudi piše, da ne smeš uporabljat za to kar oni niso predvideli.
Ja, samo ce jst vem, da se pistolo da razstavit in ce vem, da je ravno zaradi tega pistola zanimiva in da jo bo zaradi tega tudi kupil, še ne pomeni, da sem jaz storil kaznivo dejanje, ker sem mu jo prodal. Ali je bilo to moralno, je pa druga stvar.
Iatromantis ::
Stvar je še širša, kot zgleda na prvi pogled.
Vprašanje legalnosti/nelegalnosti teh početij je pomembna tema tudi pri zakonodajalcih, saj tehnologija vedno prehiteva regulacijo. Nekateri novinarji celo opozarjajo, da se FUD o kibervojnah, ki je v porastu v zadnjem letu, dveh, ustvarja ravno z namenom legalizacije zasebnih obveščevalnih agencij, ki naj bi se konsolidirale pod NSA, kjer bi skupaj preprečevali digitalne kiber vojne. NSA je seveda ena najbolj zaprtih organizacij na svetu in kot takšna najmanj primerna za vlogo velikega brata. O tem so pred kratkim pisali v reviji Wired.
In kar se tiče primerjav, da prodajalec ni vpleten v morebitno kaznivo dejanje - seveda je vpleten, če služi denar, potem je tudi sostorilec, tako je povsod drugje, npr. zakaj pa potem Kimov Megaupload ni nedolžen, če ima po DMCA pravico so varnega pristana pred dejanji svojih uporabnikov? Lovijo ga na enak princip - vedel je za nelegalnosti in hkrati tudi služil s spodbujanjem nelegalnih dejanj svojih uporabnikov.
Varen pristan namreč ne velja ob 'vedenju' in spodbujanju kaznivih dejanjih. Analogno, čeprav tu ne gre za avtorske pravice, ampak za zasebnost posameznikov in podjetij, a res lahko rečemo, da VUPEN (in HackingTeam, Palantir, Netragard, Endgame, Northrop Grumman, Raytheon, itd.) 'ne vedo', zakaj se uporabljajo njihovi exploiti, oz. da so vedno v skladu z zakonodajo, kljub temu, da je sam produkt, ki ga prodajajo, najverjetneje na drugi strani zakona?
Javne institucije so mnogo bolj zavezane transparentnosti, kot zasebne, zato tam upravičeno pričakujemo manj zlorab, oz. vsaj možnost, da se jih razišče, medtem ko se zasebni sektor neodvisen in se lahko precej skrije tudi za 'trgovskimi skrivnostmi' (trade secrets). Tudi vdor v HBGary je razkril vrsto nečednih poslov, ki krepko presegajo meje sprejemljivega in čeprav je HBGary Federal delal tudi za vlado, do tedaj niso nikoli odkrili kakšnih nepravilnosti.
Če bi prodajali korenčke in redkvice, bi bilo to drugačno vprašanje, kot pa je zdaj, ko prodajajo master ključe do domov zasebnikov in do poslovnih stavb v gospodarstvu.
Vprašanje legalnosti/nelegalnosti teh početij je pomembna tema tudi pri zakonodajalcih, saj tehnologija vedno prehiteva regulacijo. Nekateri novinarji celo opozarjajo, da se FUD o kibervojnah, ki je v porastu v zadnjem letu, dveh, ustvarja ravno z namenom legalizacije zasebnih obveščevalnih agencij, ki naj bi se konsolidirale pod NSA, kjer bi skupaj preprečevali digitalne kiber vojne. NSA je seveda ena najbolj zaprtih organizacij na svetu in kot takšna najmanj primerna za vlogo velikega brata. O tem so pred kratkim pisali v reviji Wired.
In kar se tiče primerjav, da prodajalec ni vpleten v morebitno kaznivo dejanje - seveda je vpleten, če služi denar, potem je tudi sostorilec, tako je povsod drugje, npr. zakaj pa potem Kimov Megaupload ni nedolžen, če ima po DMCA pravico so varnega pristana pred dejanji svojih uporabnikov? Lovijo ga na enak princip - vedel je za nelegalnosti in hkrati tudi služil s spodbujanjem nelegalnih dejanj svojih uporabnikov.
Varen pristan namreč ne velja ob 'vedenju' in spodbujanju kaznivih dejanjih. Analogno, čeprav tu ne gre za avtorske pravice, ampak za zasebnost posameznikov in podjetij, a res lahko rečemo, da VUPEN (in HackingTeam, Palantir, Netragard, Endgame, Northrop Grumman, Raytheon, itd.) 'ne vedo', zakaj se uporabljajo njihovi exploiti, oz. da so vedno v skladu z zakonodajo, kljub temu, da je sam produkt, ki ga prodajajo, najverjetneje na drugi strani zakona?
Javne institucije so mnogo bolj zavezane transparentnosti, kot zasebne, zato tam upravičeno pričakujemo manj zlorab, oz. vsaj možnost, da se jih razišče, medtem ko se zasebni sektor neodvisen in se lahko precej skrije tudi za 'trgovskimi skrivnostmi' (trade secrets). Tudi vdor v HBGary je razkril vrsto nečednih poslov, ki krepko presegajo meje sprejemljivega in čeprav je HBGary Federal delal tudi za vlado, do tedaj niso nikoli odkrili kakšnih nepravilnosti.
Če bi prodajali korenčke in redkvice, bi bilo to drugačno vprašanje, kot pa je zdaj, ko prodajajo master ključe do domov zasebnikov in do poslovnih stavb v gospodarstvu.
ikeman ::
Ma to je tko to.. na pol kretensko.
Jah odvisno s katerega zornega kota gledaš.
Oni v iskanje ranljivosti vložijo veliko truda (ur) in ogromno znanja. Opravljajo delo, ki bi ga morali narediti že proizvajalci programske opreme.
Moraš imeti zelo zanimive interese, da to delaš brezplačno.
Sevedam, zaradi tega pravim "na pol" ;)
S tem, ko za visoke zneske prodajajo exploite silijo podjetja (google & co), da so začeli ponujati denarne nagrade za ranljivosti. Še par let nazaj ni bilo firme, ki bi ponujala denar, če exploitaš njihov program. Sedaj to počne že nekaj podjetji.
VUPEN pač dviguje ceno exploitom. V parih letih bodo podjetja ponujala že tako veliko vsoto, da se bo morda tudi VUPEN splačalo prodajati direktno googlu in ostalim.
Oziroma bo na koncu to početje pripeljalo velika podjetja do tega, da bo ceneje luknje iskati in-house, kot da ponujajo velike zneske posameznikom.
S tega kota je tako početje pozitivno, saj bo prisilili podjetja, da v varnost aplikacij namenijo več denarja. V tem trenutku je moteče le to, da podjetja niso pripravljena plačati take cene kot jo je pripravljen plačati sivi/črni trg.
Se strinjam, vendar kolikor sem razbral iz novice in njihove spletne strani oni NE obveščajo podjetji.
Ampak raje prodajajo exploite na sivem trgu pod pretvezo neke kvazi morale.
No, to je ta "kretenski" del ;) Vsaj ponudbo bi jim poslali..
Manu ::
gruntfürmich je izjavil:
Njihovo poslovanje je neetično.
Lahko bi namesto da iščejo ranljivosti sami napisali kak program in ga prodajali kot neranljivega. S tem bi se izognili nemoralnemu početju.
hja. čigavo poslovanje pa ni neetično? miljoni kitajčkov ki garajo za par $$ pa ni?
To je stvar debate. Tu pa govorimo o konkretnem primeru.
Vse kar obstaja ima neke svoje napake. To pa zdaj še ne pomeni, da se bomo osredotočali na iskanje napak in izsiljevali (na prefinjen način).
V tem konkretnem primeru lahko samo ugibamo kaj delajo kupci teh ranljivosti. Namesto da se borimo in vzpodbujamo k bolj transparentnim in še posebej k bolj etičnim načelom poslovanja, nekateri celo odobravajo nasprotno.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.
po poti gre kot hiter konj, ki je prehitel šibko kljuse.
gruntfürmich ::
se strinjam.
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...
Oberyn ::
Neetični? Nemoralni? Bah.
Neetičnost ni kazniva (če ni kar eden od temeljev kapitalizma, kakršen vlada svetu). Nemorala tudi ni kazniva (komot naslednji temelj).
Dokler ne delajo nekaj nezakonitega, koga briga? Če bi bilo njihovo početje nezakonito, a si predstavljate, kaj bi krdelo googlovih odvetnikov (z neomejenim proračunom) naredilo iz njih?
Neetičnost ni kazniva (če ni kar eden od temeljev kapitalizma, kakršen vlada svetu). Nemorala tudi ni kazniva (komot naslednji temelj).
Dokler ne delajo nekaj nezakonitega, koga briga? Če bi bilo njihovo početje nezakonito, a si predstavljate, kaj bi krdelo googlovih odvetnikov (z neomejenim proračunom) naredilo iz njih?
MasterBlaster ::
Če mene. Vprašaš, so to navadni kriminalci, ki so toliko predrzni, da se še skrivajo ne. Me zanima koliko časa bi poslovali, če bi izdelovali univerzalne ključe, ki odklenejo recimo polovico vseh vhodnih vrat stanovanj. In kdo bi bil kupec takega ključa.
Tk je pa pika .
SkipEU ::
Iatromantis je izjavil:
In kar se tiče primerjav, da prodajalec ni vpleten v morebitno kaznivo dejanje - seveda je vpleten, če služi denar, potem je tudi sostorilec, tako je povsod drugje, npr. zakaj pa potem Kimov Megaupload ni nedolžen, če ima po DMCA pravico so varnega pristana pred dejanji svojih uporabnikov? Lovijo ga na enak princip - vedel je za nelegalnosti in hkrati tudi služil s spodbujanjem nelegalnih dejanj svojih uporabnikov.
Varen pristan namreč ne velja ob 'vedenju' in spodbujanju kaznivih dejanjih.
Megaupload je plačeval, če si uploadal. Ti pa si zamenjal s plačevanjem dostopa do Megauploada, česar mu nihče ne očita. Ko nekdo kupi podatke, pa je ravno to ... plačevanje do dostopa. A če si jaz v knjižnici sposodim kakšno kemijsko knjigo (analogno sposoji podatkov), s katero se hočem izobrazit glede eksplozivov ali strupa, ali boš knižnjico obtožil "vedenja", da bom to storil?
Iatromantis ::
Knjižnica ni profitna ustanova, ki bi na tej dejavnosti služila denar. Sploh pa knjižnice ne sposojajo ključev za vstop v moje stanovanje, morda zgolj učbenik, kako se tak ključ naredi, kar pa je velika razlika.
fiction ::
Njihova poslovna praksa je neetična, ampak precej profitabilna. Kapitalistično gledano gre torej za super podjetje.
Fora je v tem, da posedovanja in izmenjave exploitov ne moreš kriminalizirati oz. je vedno varovalka "z namenom storitve kaznivega dejanja". Ob nakupu pa prodajalec težko predvidi namen kupca, po njihovo večina kupcev zadeve nabavi zaradi tega, da se lahko zaščiti (tako kot pri orožju) - in sicer da popatcha ranljivosti na najbolj kritičnih strežnikih (exploit pa potrebujejo zato da preverijo, če jim je to res uspelo). Pa tudi sicer bi prepoved prinesla samo negativne posledice kot npr. manj raziskav na tem področju. VUPEN vedno lahko preide od prodaje (po njihovo PoC) exploitov k prodaji znanja o tem, kje se določena luknja nahaja. Na podlagi podrobnih "navodil" potem ni problema napisati še exploita (oni so ti prodali samo članek ali pa knjigo na to temo). To je pa pomoje nemogoče ustrezno zakonsko regulirati, razen v totalitarnem režimu.
Fora je v tem, da posedovanja in izmenjave exploitov ne moreš kriminalizirati oz. je vedno varovalka "z namenom storitve kaznivega dejanja". Ob nakupu pa prodajalec težko predvidi namen kupca, po njihovo večina kupcev zadeve nabavi zaradi tega, da se lahko zaščiti (tako kot pri orožju) - in sicer da popatcha ranljivosti na najbolj kritičnih strežnikih (exploit pa potrebujejo zato da preverijo, če jim je to res uspelo). Pa tudi sicer bi prepoved prinesla samo negativne posledice kot npr. manj raziskav na tem področju. VUPEN vedno lahko preide od prodaje (po njihovo PoC) exploitov k prodaji znanja o tem, kje se določena luknja nahaja. Na podlagi podrobnih "navodil" potem ni problema napisati še exploita (oni so ti prodali samo članek ali pa knjigo na to temo). To je pa pomoje nemogoče ustrezno zakonsko regulirati, razen v totalitarnem režimu.
poweroff ::
Iatromantis je izjavil:
Pa saj ne morem verjet kakšni komentarji. Govor ni o brezplačnosti-plačljivosti ampak o vsebini njihovega početja. V modernih pravnih državah naj bi bile te stvari urejene po zakonu, a kot priznava sam Forbes, je to 'sivi' trg, ki bi ga imenovali 'črni', če ne bi storitev ponujale inkorporirane osebe, ampak npr. 'hekerji'.
Privatizacija obveščevalne dejavnosti je ravno tako moralno sporna, kot privatizacija vojske, za katero imamo že vso zgodovino lepo besedo - plačanci. Torej, ali imajo v moderni družbi zasebne entitete pravico kršiti zasebnost posameznikov in konkurenčnih firm?
Saj oni ne vdirajo!
Oni samo najdejo napako, potem pa prodajo informacijo o napaki. Če naročnik to informacijo uporabi za to, da se zaščiti - OK, če pa za vdor - je pa to njegov problem.
Am, halo? Od kdaj je namen kupca problem prodajalca?
Nekdo je napisal, da se mu to zdi kaznivo. Najprej sem mislil napisati, da je bumbar. Ker to ni kaznivo. Ampak... ko pa je ThePirateBay ponujal linke do torrentov in rekel, da ni njegova stvar kaj bodo uporabniki počeli z njimi - so pa fasali obsodbo zaradi pomoči pri kaznivem dejanju.
Torej tudi VUPEN pomaga pri kaznivih dejanjih? Seveda pa so tukaj tajne službe in policija in kazenskega postopka ne bo...
sudo poweroff
SuperVeloce ::
Pravila se vedno (sporno) ukrivljajo pri takšnih stvareh, vendar očitno google še ni na ravni riaa in hollywood-a, da bi si lahko kaj takšnega dovolil...
ryzen 5900x, MSI 5700xt Gaming X, 2x16GB 3600CL16, 850evo+860qvo, Fractal Mini C
Iatromantis ::
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Ranljivosti v Linuxu za pol milijona dolarjev, v iOS za poldrugi milijonOddelek: Novice / Varnost | 3535 (2711) | wechta |
» | Cene za ranljivosti v programski opremi rastejoOddelek: Novice / Varnost | 5795 (4964) | FTad |
» | Za vdor v iPhone poldrugi milijon dolarjevOddelek: Novice / Varnost | 4474 (2801) | no comment |
» | VUPEN želi iz FrancijeOddelek: Novice / Varnost | 18446 (9392) | matijadmin |
» | Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijoneOddelek: Novice / Varnost | 19940 (16979) | Iatromantis |