Slo-Tech - Čeprav številni proizvajalci programske opreme ponujajo nagrade za odkrite in prijavljene ranljivosti, pa lahko sposobni strokovnjaki zaslužijo bistveno več, če odkritih lukenj ne prijavijo proizvajalcu ali obešajo na veliki zvon, temveč jih prodajo specializiranim podjetjem, ki trgujejo z njimi. Eno najbolj znanih je Zerodium, ki ga je ustanovil francoski strokovnjak Chaouki Bekrar. Pred tem je bil ustanovil tudi skupino VUPEN, ki je bila znana kot eden najuspešnejših udeležencev hekerskih tekmovanj, kot je Pwn2Own, in kot velik preprodajalec ranljivosti različnim državnim službam po celem svet. Zerodium redno odkupuje ranljivosti po visokih cenah, občasno pa objavi posebno akcijo, kadar potrebuje ranljivost za točno določen sistem.
To pot ponujajo pol milijona dolarjev nagrade za prvenstveno odkrite (zero-day) ranljivosti v Unixovih operacijskih sistemih (OpenBSD, FreeBSD in NetBSD) ter v več distribucijah Linuxa (Ubuntu, CentOS, Debian, Tails). Višina nadomestila je odvisna od resnosti ranljivosti. Preprosta eskalacija privilegijev v Linuxu prinese do 30.000 dolarjev, če pa je luknja v jedru oziroma kako drugače zadeva vse distribucije, gre tudi do 100.000 dolarjev. Luknje, ki omogočajo oddaljeno izvajanje kode na Linuxu, pa prinesejo do 500.000 dolarjev. Še višje so cene nekaterih ranljivosti v iPhonu, kjer lahko zaslužimo tudi poldrugi milijon dolarjev.
Chaouki Bekrar je pojasnil, da so cene odvisne od tržnega deleža platforme, ki je zlomljena. To pomeni, da je namiznih računalnikih luknja v Windows dragocenejša kot v Linuxu, za strežnike pa velja obratno. Še vedno so najdragocenejše luknje v mobilnih napravah. Zerodium ima vedno dve ali tri ranljivosti za katerokoli priljubljeno platformo, ki jih prodajajo zainteresiranim kupcem, ves čas pa so na preži za novimi. Ker niso dobrodelna ustanova, je logično sklepati, da z milijonsko ranljivosti iztržijo še bistveno več. Različne države so namreč zelo zainteresirane za informacije o teh ranljivostih, ki so jih pripravljene zelo drago plačati. Zato so programi prijavljanja ranljivosti proizvajalcem (bug bounty), kjer lahko v najboljšem primeru računamo na nekaj tisoč dolarjev, relevantni samo za zelo poštene in načelne, predvsem pa preskrbljene hekerje.
Novice » Varnost » Ranljivosti v Linuxu za pol milijona dolarjev, v iOS za poldrugi milijon
Master_Yoda ::
Kako je to sploh legalno ? Drzava v kateri to podjetje posluje kar pusti da se ranljivosti v OSih preprodajajo, ne glede na to da so lahko oni tarca napada s taksno ranljivostjo.
Razen seveda ce imajo "svoje" v teh podjetjih in imajo svoje naprave ze ustrezno popatchane preden se ranljivost proda.
Razen seveda ce imajo "svoje" v teh podjetjih in imajo svoje naprave ze ustrezno popatchane preden se ranljivost proda.
filip007 ::
Popravek mora narediti proizvajalec opreme, oni bolj težko.
Prenosnik, konzola, TV, PC upokojen.
PARTyZAN ::
"Proizvajalec" bi že zaflikal, problem je samo v tem, da je ostalim v interesu, da so napake čim dlje skrite.
Furbo ::
Taka podjetja že nimajo svojih okostnjakov v na internet povezanih mašinah.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Cene za ranljivosti v programski opremi rastejoOddelek: Novice / Varnost | 5791 (4960) | FTad |
» | Za vdor v iPhone poldrugi milijon dolarjevOddelek: Novice / Varnost | 4472 (2799) | no comment |
» | Milijonski vdor v iOS 9Oddelek: Novice / Apple iPhone/iPad/iPod | 23514 (19624) | nekikr |
» | Tudi Microsoft bo plačeval za najdene ranljivostiOddelek: Novice / Varnost | 4805 (3459) | filip007 |
» | Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijoneOddelek: Novice / Varnost | 19938 (16977) | Iatromantis |