» »

Cene za ranljivosti v programski opremi rastejo

Cene za ranljivosti v programski opremi rastejo

Slo-Tech - Podjetje Zerodium, ki se ukvarja z iskanjem, nakupovanjem in prodajo ranljivosti v programski opremi, je včeraj znatno povišalo cene, po katerih je pripravljeno odkupiti ranljivosti v različni programski opremi. Nekateri to vidijo kot znak, da postaja programska oprema čedalje varnejša in da so ranljivosti čedalje redkejše, drugi pa se bojijo, da to kaže na povečano povpraševanje po ranljivostih s strani državnih agencij.

Zerodium je ustanovil francoski strokovnjak za računalniško varnost Chaouki Bekrar, ki je bil pred tem ustanovil tudi skupino VUPEN, ki je bila znana kot eden najbolj plodnih udeležencev hekerskih tekmovanj, kot je Pwn2Own. VUPEN je odkrite ranljivosti tudi prodajal, isto pa sedaj počne v ZDA ustanovljen Zerodium. Bekrar sicer zatrjuje, da ranljivosti prodajajo samo preverjenim strankam, ki so v glavnem velika podjetja in državne agencije iz Severne Amerike in Evrope, a tega ni mogoče preveriti. Septembra 2015 so objavili prvi seznam ranljivosti, ki jih odkupujejo, ta pa se je včeraj izdatno razširil in podražil.

Še vedno največ ponujajo za ranljivost, ki omogoča odklep telefona z iOS brez posredovanja uporabnika - 1,5 milijona dolarjev. Če je potrebna uporabniška interakcija, je ranljivost vredna milijon dolarjev. So se pa na seznamu na novo znašla orodja za varno komuniciranje, kot so Signal, WhatsApp, Viber, Telegram itd. Zerodium za ranljivosti v teh programih ponuja 500.000 dolarjev. Pomembna novost so tudi napadi na baseband (koda za komunikacijo telefona z omrežjem), ki so vredni 150.000 dolarjev. Strokovnjaki opozarjajo, da dvig cen ranljivosti v mobilni programski opremi nakazuje na povečanje povpraševanja po njih. Ker ljudje čedalje več uporabljajo mobilne telefone za komunikacijo, je logično tudi želja po lomljenju zaščit večja.

Veliko ponujajo tudi za napade na klasične operacijske sisteme. Ranljivost v Windows 10 je vredna 300.000 dolarjev, v Chromu 150.000 dolarjev, v TOR-u do 100.000 dolarjev itd. Zanimivo je, da so vse te vrednosti precej višje od nagrad, ki jih za prijavljene hrošče in ranljivosti ponujajo proizvajalci (bug bounty). Med njimi sicer obstoji pomembna razlika, saj proizvajalci nagradijo že koncept, medtem ko Zerodium odkupuje v glavnem polno funkcionalne izdelke, ki izkoriščajo dano ranljivost. A dejstvo ostaja, da so ranljivosti velikanski posel, ki se ga gredo vsi od zasebnega sektorja do obveščevalnih agencij.


6 komentarjev

shadeX ::

Še vedno največ ponujajo za ranljivost, ki omogoča odklep telefona z iOS brez posredovanja uporabnika - 1,5 milijona dolarjev.


Mogoče kdo ve koliko ponujajo za Android?

FTad ::

Ne razumem najbolj poante teh podjetji, morda mi lahko kdo odgovori na vprasanje? Torej podjetja najamejo to podjetje, da jim preverijo ranljivosti v softwaer-u?

Elysium ::

FTad je izjavil:

Ne razumem najbolj poante teh podjetji, morda mi lahko kdo odgovori na vprasanje? Torej podjetja najamejo to podjetje, da jim preverijo ranljivosti v softwaer-u?

Ma ne. Ti si npr. DHS (Department of Homeland Security) in si na mejnem prehodu ustavil nekega znanega muslimanskega terorista. Ker sam ne poznaš načina, kako bi odklenil telefon, ki ga sam seveda noče, vseeno pa bi rad pogladal, kaj ima na telefonu, kontaktiraš takšno podjetje, da ti povejo "recept", kako se to naredi. Seveda moraš za to uslugo tudi plačati.

BlackMaX ::

Elysium je izjavil:

FTad je izjavil:

Ne razumem najbolj poante teh podjetji, morda mi lahko kdo odgovori na vprasanje? Torej podjetja najamejo to podjetje, da jim preverijo ranljivosti v softwaer-u?

Ma ne. Ti si npr. DHS (Department of Homeland Security) in si na mejnem prehodu ustavil nekega znanega muslimanskega terorista. Ker sam ne poznaš načina, kako bi odklenil telefon, ki ga sam seveda noče, vseeno pa bi rad pogladal, kaj ima na telefonu, kontaktiraš takšno podjetje, da ti povejo "recept", kako se to naredi. Seveda moraš za to uslugo tudi plačati.


Z drugimi besedami, legalno vdiranje v osebne naprave, zato ker si "uradni organ" v tem primeru.

MrStein ::

Bekrar sicer zatrjuje, da ranljivosti prodajajo samo preverjenim strankam

Častna Titova!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

FTad ::

BlackMaX je izjavil:

Elysium je izjavil:

FTad je izjavil:

Ne razumem najbolj poante teh podjetji, morda mi lahko kdo odgovori na vprasanje? Torej podjetja najamejo to podjetje, da jim preverijo ranljivosti v softwaer-u?

Ma ne. Ti si npr. DHS (Department of Homeland Security) in si na mejnem prehodu ustavil nekega znanega muslimanskega terorista. Ker sam ne poznaš načina, kako bi odklenil telefon, ki ga sam seveda noče, vseeno pa bi rad pogladal, kaj ima na telefonu, kontaktiraš takšno podjetje, da ti povejo "recept", kako se to naredi. Seveda moraš za to uslugo tudi plačati.


Z drugimi besedami, legalno vdiranje v osebne naprave, zato ker si "uradni organ" v tem primeru.



hvala za pojasnilo :)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ranljivosti v Linuxu za pol milijona dolarjev, v iOS za poldrugi milijon

Oddelek: Novice / Varnost
63517 (2693) wechta
»

Za vdor v iPhone poldrugi milijon dolarjev

Oddelek: Novice / Varnost
64447 (2774) no comment
»

FBI za odklep iPhona 5C plačal več kot milijon dolarjev

Oddelek: Novice / Ostale najave
96333 (4581) D3m0r4l1z3d
»

Milijonski vdor v iOS 9

Oddelek: Novice / Apple iPhone/iPad/iPod
4823365 (19475) nekikr
»

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

Oddelek: Novice / Varnost
4019828 (16867) Iatromantis

Več podobnih tem