» »

VUPEN želi iz Francije

VUPEN želi iz Francije

VUPEN-ova ekipa v Vancouvru letos. Bekrer stoji v sredini.

Heise - Francoski VUPEN, ki ga poznamo kot večkratnega zmagovalca hekerskega tekmovanja Pwn2Own in podobnih natečajev ter kot vodilno varnostno podjetje, ki se ukvarja z iskanjem ranljivosti v programski opremi in prodaji podrobnosti o luknjah, se seli. Svoj sedež bodo iz Montpellierja zaradi francoske birokracije v eno izmed prožnejših držav. Omenjajo se Luksemburg, Singapur in ameriška zvezna država Maryland, kjer že imajo podružnico. Ni še povsem jasno, ali bodo podjetje le preselili, ali pa ga bodo poslali v likvidacijo in se v tujini organizirali povsem na novo.

Kot je povedal vodja VUPEN-a Chaouki Bekrar, so problem izvozne omejitve v Franciji. Dejal je, da sicer razume in podpira izvozne omejitve za nevarno tehnologijo, kamor sodijo tudi javnosti neznane in nezakrpane ranljivosti v programski opremi, a da pridobivanje dovoljenj za izvoz traja predolgo. V njihovem poslu je hitrost ključnega pomena, saj luknje, ki jo je odkril že kdo drug, enostavno ne morejo dobro prodati. Zaradi tega se bodo preselili v okolje, kjer je teh omejitev manj.

VUPEN so profesionalni iskalci lukenj v programski opremi, ki imajo najrazličnejše stranke, med katerimi najdemo tudi NSA, francosko, nemško in britansko obveščevalno agencijo. Trenutno je VUPEN najbolj znano tovrstno podjetje in edino v Franciji, prihodnje leto pa naj bi začel poslovati tudi pariški Quarkslab. Toda trenutno so na svetu le trije veliki in VUPEN je največji med njimi.

Decembra bo začela veljati nova verzija wassenaarskega sporazuma o nadzoru nad izvozom konvencionalnega orožja ter blaga in tehnologije z dvojno rabo, ki so ga sklenili leta 1996 in ga je trenutno ratificiralo 42 držav, med njimi tudi Slovenija in Francija. VUPEN sicer ne navajajo omenjenega sporazuma kot neposredni razlog za odločitev o umiku iz Francije, je pa gotovo odigral svojo vlogo. Luksemburg in ZDA sta podpisnika, Singapur pa ni.

31 komentarjev

Ziga Dolhar ::

Zanimivo. Sam bi povsem na prvo žogo rekel, da so nične pogodbe o prodaji informacij o varnostnih pomanjkljivostih v informacijskih sistemih, in to še posebej kadar gre za prodajo subjektom, za katere je očitno, da jih ne zanima odprava napak ampak nepooblaščeno vdiranje v informacijske sisteme (kar predstavlja kaznivo dejanje).

Očitno sem se motil.
https://dolhar.si/

sumoborac ::

Kadar se prodaja te iste informacije državnim organom/ustanovam očitno to nima veze :) Država ne more biti kaznovana za nepooblaščeno vdiranje ko gre za "domovinsko varnost"...

Sumoborac
Prid sm al pa tm ostan...

Ahim ::

Svoj sedež bodo iz Montpellierja zaradi francoske birokracije v eno izmed prožnejših držav.

Ribič ::

Vupen, ReVuln in Hacking Team so trije problemi našega digitalnega sveta.

Matthai ::

Ziga Dolhar je izjavil:

Očitno sem se motil.

To so klasični mafijski posli. Če ne plačaš... potem naslednjič ne boš dobil informacije o 0-day.

Sicer pa so Vupen green* hat hackers.

* Green, the color of money.
All those moments will be lost in time, like tears in rain...
Time to die.

ulemek ::

Matthai je izjavil:

Ziga Dolhar je izjavil:

Očitno sem se motil.

To so klasični mafijski posli. Če ne plačaš... potem naslednjič ne boš dobil informacije o 0-day.

Sicer pa so Vupen green* hat hackers.

* Green, the color of money.


S tem se pa ne strinjam. Saj lahko države ustanovijo svojo agencijo, ki jih bo dan in noč iskala. Pa tudi z razpisi lahko poizkusijo.

Jupito ::

ulemek je izjavil:

Matthai je izjavil:

Ziga Dolhar je izjavil:

Očitno sem se motil.

To so klasični mafijski posli. Če ne plačaš... potem naslednjič ne boš dobil informacije o 0-day.

Sicer pa so Vupen green* hat hackers.

* Green, the color of money.


S tem se pa ne strinjam. Saj lahko države ustanovijo svojo agencijo, ki jih bo dan in noč iskala. Pa tudi z razpisi lahko poizkusijo.


Istotako kot lahko npr. za razvoj orožja najdeš ljudi na državnihnih univerzah in inštitutih, ustavnoviš javno agencijo, se znebiš vseh problemov s tipi dvomljivega slovesa, ki ti po nekih čudnih kanalih ponujajo precenjena jetra, obremenjena z neznano količino provizij... Teoretično "čis izi", v praksi pa "malo jutri" (money talks; bullshit walks).
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

Jst ::

Mafijski posli v takem smislu:

Predstavljate si, da ste naredili pomemben roulout nekega programa. Potem ti pa VUPEN javi, da so našli ranljivost. Šenkajo ti to informacijo. Zraven pa pošljejo še "povpraševanje" (cenik) za nadaljnje obveščanje.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

stb ::

Jst je izjavil:

Mafijski posli v takem smislu:

Predstavljate si, da ste naredili pomemben roulout nekega programa. Potem ti pa VUPEN javi, da so našli ranljivost. Šenkajo ti to informacijo. Zraven pa pošljejo še "povpraševanje" (cenik) za nadaljnje obveščanje.

Neprijetna situacija, ki se ji lahko izogneš s pisanjem manj luknjaste kode (ali pa najemanjem zunanjih pregledovalcev, VUPEN ali pa katerih drugih). Ali imaš raje, da ti ne povejo za obstoj ranljivosti?
Dokler samoiniciativni pregledovalci pri svojem delu ne kršijo licenčnih pogojev (piratska kopija programa) in zakonodaje (npr vdor ali poskus vdora v tuje sisteme brez soglasja lastnikov) v tem ni pravno nič spornega.

Morala in posel ne gresta nujno skupaj.
To ni čisto nič drugače od vsakdanjega oglasa: "Naš produkt vam bo znižal stroške poslovanja za do 50%. Vaša konkurenca že kupuje naše storitve. Naš cenik je v priponki.".

Matthai ::

Ne veste, kdo so VUPEN-ove stranke, ne?
All those moments will be lost in time, like tears in rain...
Time to die.

stb ::

Ja izdelovalci luknjastih programov res niso njihove primarne stranke, ker so na trgu močnejši kupci.

Qushaak ::

Matthai je izjavil:

Ziga Dolhar je izjavil:

Očitno sem se motil.

Sicer pa so Vupen green* hat hackers.

* Green, the color of money.

Men to ni sploh nič narobe. Imaš vsaj motivacijo delat.

Matthai ::

Se pravi tudi če bi bil dobro plačani paznik v koncentracijskem taborišču ni s tem nič narobe? Imaš pač motivacijo delat?

Ne rečem, da je to isto... je pa vseeno dovolj podobno, da se je za vprašat.
All those moments will be lost in time, like tears in rain...
Time to die.

ulemek ::

Matthai je izjavil:

Se pravi tudi če bi bil dobro plačani paznik v koncentracijskem taborišču ni s tem nič narobe? Imaš pač motivacijo delat?

Ne rečem, da je to isto... je pa vseeno dovolj podobno, da se je za vprašat.


Za istega upravitelja taborišča si delal tudi sam. Kot kuhar, ne kot paznik. Sram te bodi.

Matthai ::

Res? O kom govorimo?
All those moments will be lost in time, like tears in rain...
Time to die.

ulemek ::

Matthai je izjavil:

Res? O kom govorimo?


O Republiki Sloveniji. Servilna je do držav, ki to izvajajo. Sama, celo po razkritjih ob tvoji pomoči, z IMSI lovilci in drugo ropotijo ni nič boljša.

Sej pravim, nisi ravno paznik, si pa kuhar.

Zgodovina sprememb…

  • spremenilo: ulemek ()

Matthai ::

Heh, po tej logiki si ti ravno ali pa še bolj kriv. Ker si namreč volil tiste politike, ki so servilni.

Da ne govorimo o tvoji krivdi, ker uporabljaš mobilni telefon in računalnik za katerega zlobne korporacije ropajo tretji svet. Kitajski otroci morajo delati v tovarnah v Afriki je pa lakota, da ti lahko celo leto ješ banane.

Mislim, če že bluzimo, dajmo odbluzit do konca...
All those moments will be lost in time, like tears in rain...
Time to die.

ulemek ::

Ne, ne bluzim. Po tej logiki je nemoralno se zaposliti v slovenski Policiji. Ker se poslužujejo ribarjenja v kalnem. Oprosti.

Se pa vsekakor strinjam, da je tako ribarjenje v kalnem kot zloraba tistih ranljivosti s strani držav nekaj sprevrženega in obsojanja vredno.

Zgodovina sprememb…

  • spremenilo: ulemek ()

Matthai ::

Nemoralno se je zaposliti v policiji, ki sistemsko muči in pobija ljudi. Slovenska policija tega ne počne. Če se že pojavi kakšen primer samovoljnega ravnanja posameznega policista je to a) v nasprotju s pravili, b) sankcionirano in c) to nikakor ni uradna ali neuradna politika policije.

Uradna politika VUPENA pa je odkrivanje ranljivosti ter njihova prodaja tistim, ki jih bodo izrabljali. Imamo pa še primer italijanskega Hacking Teama, ki so svoje viruse prodajali nedemokratičnim režimom za nadzor političnih aktivistov, ki so bili borci za svobodo govora.

Ne, stvari so zelo jasno ločene.
All those moments will be lost in time, like tears in rain...
Time to die.

ulemek ::

Matthai je izjavil:

Nemoralno se je zaposliti v policiji, ki sistemsko muči in pobija ljudi. Slovenska policija tega ne počne. Če se že pojavi kakšen primer samovoljnega ravnanja posameznega policista je to a) v nasprotju s pravili, b) sankcionirano in c) to nikakor ni uradna ali neuradna politika policije.


Imava očitno težave deontološke narave.

NSA idr. obveščevalne službe ali organizacije Zahoda (vsaj, kar zadeva prestrezanja in vohunjenja) s tem ne mučijo. Prav tako ne z vdiranjem. Kršijo pa človekove pravice in svoboščine. In (najpogosteje še kazensko) zakonodajo držav, kjer to počno.

V naši policiji ne bi rekel, da so podobni primeri (ribarjenje v kalne v Balkanskem, nabava in raba IMSI lovilcev ...) posledica samovoljnih ravnanj posameznikov. Celo članki in novice na tem portalu dokazujejo, da gre za zablodo v doktrini (da se sicer ne da preiskovati določenih KD in, da je to s pravnoustavnega vidika sprejemljivo) ter so torej tu (simptomatsko) podani vsi pogoji, da problem označimo za sistemske narave. Sploh pa, ker pri tem sodeluje še tožilstvo in tako početje odobrava, zagovarja in se ga poslužuje pri gradnji obtožnice.

Kakšna razlika je, če naša Policija ali NSA sistematično kršita človekove pravice in svoboščine (dobro veš, katere - ne mi o mučenju)?!

Matthai je izjavil:


Uradna politika VUPENA pa je odkrivanje ranljivosti ter njihova prodaja tistim, ki jih bodo izrabljali. Imamo pa še primer italijanskega Hacking Teama, ki so svoje viruse prodajali nedemokratičnim režimom za nadzor političnih aktivistov, ki so bili borci za svobodo govora.

Ne, stvari so zelo jasno ločene.


Po tvoji logiki RS ne moremo zaupati. Niti ZDA, niti Nemčiji. Ni moralno, da bi delali zanje. Izhajaš iz predpostavke, da bodo to zakonito uporabili in, če se kdaj izkaže, kar se je ob Snowdnovih razkritjih, da niso, je to njihova težava, ki jo morajo reševati drugi pristojni in poklicani. Seveda, tudi javnost je prav, da se zgane. Ponavljam, ob prodaji ranljivosti je tu na vladi, da poskrbi, da bo to uporabljeno zakonito.

To, da je milanski HT prodajal zločinskim in nedemokratičnim režimom, nikakor ne moremo primerjati s tem, da bi to prodajali SOVI ali Policiji (če bi dobili zakonsko podlago za trojanca, četudi bi se izkazal za protiustavnega) ali pa IMSI lovilce ali pa ranljivosti.

Matthai ::

Po tvoji logiki tudi gasilci ne bi smeli delati za Republiko Slovenijo, ker pač tam en oddelek policije na ustavno sporen način uporablja IMSI catcherje.
All those moments will be lost in time, like tears in rain...
Time to die.

ulemek ::

Matthai je izjavil:

Po tvoji logiki tudi gasilci ne bi smeli delati za Republiko Slovenijo, ker pač tam en oddelek policije na ustavno sporen način uporablja IMSI catcherje.


Od posameznika, smo prišli do oddelka. Naslednji korak bo sistem? Še naslednji država?

Poanta mojega pisanja je v mišljenju, da kateri koli Z državi, med katere sodimo, ne moremo a priori pripisati kriminalnosti in kar odreči "opravilne" sposobnosti, da bo zakonito, predvsem pa v skladu s ČP ravnala v svoji funkcionalnosti. Lahko se pa odzovemo na konkretne kršitve ČP in ukrepamo selektivno ter jasno artikulirano.

Matthai ::

Dajmo se vrniti k bistvu. Meni osebno ne bi bil problem delati na področju IT varnosti v okviru organizacije, ki se ukvarja z digitalno forenziko (za sodne postopke v demokratični državi), varovanjem komunikacij ali odkrivanjem ranljivosti v okviru pen-testinga. Za VUPEN ali Hacking Team pa ne bi želel delati.
All those moments will be lost in time, like tears in rain...
Time to die.

ulemek ::

Matthai je izjavil:

Dajmo se vrniti k bistvu. Meni osebno ne bi bil problem delati na področju IT varnosti v okviru organizacije, ki se ukvarja z digitalno forenziko (za sodne postopke v demokratični državi), varovanjem komunikacij ali odkrivanjem ranljivosti v okviru pen-testinga. Za VUPEN ali Hacking Team pa ne bi želel delati.


Potem bi prišel ukaz do forenzika Mateja, da mora naložiti tisto osovraženo črno škatlo v avtomobil in odriniti v Maribor na proteste. Bi odklonil? Veš, kaj bi sledilo, če bi, a ne? Disciplinska. Kakšna premestitev, dolgoročno lahko tudi odpoved.

Idealiziraš službe in našo državo, ker se je sprožil nek obrambni mehanizem v tebi, saj vem, da sicer čislanja vredno razkrivaš in obsojaš sporna ravnanja. Pravzaprav s tem vzgibom, s katerim taka ravnanja obsojaš, skušaš povsem neracionalno prikazati, da je narobe na napačnem koncu.

Tega, da VUPEN prodaja ranljivosti Z vladam, ne moremo primerjati s Hacking Teamovim poslovnim sodelovanjem z tiranskimi režimi. Sej to, da odkrite ranljivosti, ki jo nekomu prodaš, nato ne objaviš, je pizdunstvo, na meji moralnega, ampak ni zločinsko in samo po sebi ne pomeni popolnoma nobene kršitve ČP & svoboščin! O tem ni dvoma.

Zgodovina sprememb…

  • spremenilo: ulemek ()

Iatromantis ::

Malware se spreminja v govermentware vse z namenom, da bi
mass surveillance systems could be widely deployed in western countries:

Surveillance companies like SS8 in the U.S., Hacking Team in Italy and Vupen in France manufacture viruses (Trojans) that hijack individual computers and phones (including iPhones, Blackberries and Androids), take over the device, record its every use, movement, and even the sights and sounds of the room it is in. Other companies like Phoenexia in the Czech Republic collaborate with the military to create speech analysis tools. They identify individuals by gender, age and stress levels and track them based on 'voiceprints'. Blue Coat in the U.S. and Ipoque in Germany sell tools to governments in countries like China and Iran to prevent dissidents from organizing online.


Vupen's chief executive and lead hacker, Chaouki Bekrar, says his company never had any intention of telling Google its secret techniques--certainly not for $60,000 in chump change.

"We wouldn't share this with Google for even $1 million," says Bekrar. "We don't want to give them any knowledge that can help them in fixing this exploit or other similar exploits. We want to keep this for our customers."



To je namreč skladno z utopijo think tankov iz sredine 60. let (RAND ipd.), da
I have found a film [...] made in the mid-1960s called Towards Tomorrow - and it tries to envisage what utopias might emerge in the next century. It asks how society, in an age of the masses and the decline of old forms of authority, will be organised. [...] is a vision of a world managed by an elite group of technocrats who see people as passive beings who need to be constantly monitored and managed in order to keep them happy. The section of the film that outlines this possible future is very odd - because as you watch it you get an eerie sense of familiarity. That what is being described is the very world in which we all now live.

Here - for example is one of the exponents of this future world. He is called Herman Kahn and was one of the first think-tank futurologists. The other man with him is his assistant. Listening to them talking in 1966 and describing what they think might come in the future is quite strange.

Na HAPPIDROME - Part One

Matthai ::

ulemek je izjavil:

Potem bi prišel ukaz do forenzika Mateja, da mora naložiti tisto osovraženo črno škatlo v avtomobil in odriniti v Maribor na proteste. Bi odklonil? Veš, kaj bi sledilo, če bi, a ne? Disciplinska. Kakšna premestitev, dolgoročno lahko tudi odpoved.

Možno. Zato sem raje izbral vnaprej in tudi ne delam v takem okolju, kjer bi bil izpostavljen takim potencialnim skušnjavam.

ulemek je izjavil:

Tega, da VUPEN prodaja ranljivosti Z vladam, ne moremo primerjati s Hacking Teamovim poslovnim sodelovanjem z tiranskimi režimi. Sej to, da odkrite ranljivosti, ki jo nekomu prodaš, nato ne objaviš, je pizdunstvo, na meji moralnega, ampak ni zločinsko in samo po sebi ne pomeni popolnoma nobene kršitve ČP & svoboščin! O tem ni dvoma.

Saj o tem govorim. Če imam možnost delati za pošteno firmo ali pa za navadne pizdune, se bom odločil za prvo možnost. Kaj pa če imaš možnost delati samo za VUPEN? Hja, če si tako dober, lahko dobiš posel tudi praktično kjerkoli drugje. Morda za manjše plačilo, ampak še vedno dovolj za zelo zelo spodobno življenje.

Iatromantis je izjavil:

"We wouldn't share this with Google for even $1 million," says Bekrar. "We don't want to give them any knowledge that can help them in fixing this exploit or other similar exploits. We want to keep this for our customers."

Tole vse pove.

Moram pa reči, da se mi pa to pravzaprav ne zdi tako slabo. Pojav takih podjetij namreč sili proizvajalce softwera k aktivni skrbi za varnost. K vlaganjem na teh področjih. Kar sploh ni slabo.
All those moments will be lost in time, like tears in rain...
Time to die.

Zgodovina sprememb…

  • spremenil: Matthai ()

Ziga Dolhar ::

Matthai je izjavil:

Moram pa reči, da se mi pa to pravzaprav ne zdi tako slabo. Pojav takih podjetij namreč sili proizvajalce softwera k aktivni skrbi za varnost. K vlaganjem na teh področjih. Kar sploh ni slabo.


... ali pa vodi h koluziji, ko bi proizvajalec softwera pričel prodajati informacije o šibkih točkah svojega Sistema VUPENu in podobnim retailerjem.

Ali pa ustanovi svoj offshot, ki prične neposredno konkurirati VUPENu in podobnim.

Ne, meni se to zdi zelo slabo.
https://dolhar.si/

stb ::

Ja, tudi to je možno in se dogaja. Takšnim namernim luknjam pa se reče stranska vrata (angl. backdoor). Edini problemček je, da ta poslovni model na dolgi rok ne deluje.

Iatromantis ::

Matthai je izjavil:

Moram pa reči, da se mi pa to pravzaprav ne zdi tako slabo. Pojav takih podjetij namreč sili proizvajalce softwera k aktivni skrbi za varnost. K vlaganjem na teh področjih. Kar sploh ni slabo.

To je zavajanje, ta podjetja prvenstveno ne prodajajo toliko 0-day exploitov, kot pa scrip-kiddie programe, ki jih uporabljajo represivne institucije v ne tako demokratičnih, kot tudi demokratičnih državah... kdo pa pravi, da nimajo tudi zasebnih (korporacijskih) strank, ne zgolj državne?

Ali pa da ne bo v bližnji prihodnosti normalno tudi kaj takšnega: Cops Are Handing Out Spyware to Parents—With Zero Oversight

Tudi znani primeri uporabe tega programja niso najbolj svetli:

Bill Marczak, a computer science doctoral candidate at the University of California, helped investigate the use of FinFisher spyware against activists and journalists in Bahrain in 2012, as well as in other states.

Although such software does have legitimate applications for law enforcement, it can easily be used to stifle civil society, as Marczak argues was the case in Bahrain.

Apart from journalists and activists, he noted that in the Malaysia and Ethiopia, members of the political opposition were apparently being targeted as well. One piece of FinFisher spyware discovered, for example, contained details relating to the upcoming Malaysian elections.

“You couldn’t say exactly who was targeted against, but the use of election-related content suggests politically motivated targeting. We also found a sample of this spyware that appeared to be targeted at activists in Ethiopia. The spyware contained a picture of Ethiopian opposition leaders that was displayed when the user opened it. By opening the picture the user copied the spyware,”

Matthai ::

Morda sem optimist, ampak v teh novicah je pozitivno to, da so spodbudile odpor strokovne javnosti, ki je začela še bolj razvijat orodja za zaščito, pri laični javnosti pa zavedanje o pomenu samozaščite. Na dolgi rok je to samo dobro.
All those moments will be lost in time, like tears in rain...
Time to die.

matijadmin ::

Matthai je izjavil:

Morda sem optimist, ampak v teh novicah je pozitivno to, da so spodbudile odpor strokovne javnosti, ki je začela še bolj razvijat orodja za zaščito, pri laični javnosti pa zavedanje o pomenu samozaščite. Na dolgi rok je to samo dobro.


Fino je, da o tem vsi razmišljamo. Bolje kot, če ne bi, ker bi nas bilo strah, da nas imajo za norce, če bi. Vprašanje je, kako dolgo bomo razmišljali, preden se bo kaj v družbi premaknilo na strani demokratičnega nadzora teh ali onih barabinskih služb, ker ne verjamem, da se bomo temu zlahka zgolj tehnično postavljali po robu (stroka je bosa, narod pa gol).


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Cene za ranljivosti v programski opremi rastejo

Oddelek: Novice / Varnost
64260 (3429) FTad
»

Milijonski vdor v iOS 9

Oddelek: Novice / Apple iPhone/iPad/iPod
4814947 (11057) nekikr
»

Google Zero bo iskal hrošče tudi v tujih programih

Oddelek: Novice / Varnost
154914 (3668) chironex
»

VUPEN že odkril ranljivosti v Windows 8

Oddelek: Novice / Varnost
134152 (2920) ender
»

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

Oddelek: Novice / Varnost
4014078 (11117) Iatromantis

Več podobnih tem