Prijavi se z GoogleID

» »

Ranljivosti v Linuxu za pol milijona dolarjev, v iOS za poldrugi milijon

Ranljivosti v Linuxu za pol milijona dolarjev, v iOS za poldrugi milijon

Slo-Tech - Čeprav številni proizvajalci programske opreme ponujajo nagrade za odkrite in prijavljene ranljivosti, pa lahko sposobni strokovnjaki zaslužijo bistveno več, če odkritih lukenj ne prijavijo proizvajalcu ali obešajo na veliki zvon, temveč jih prodajo specializiranim podjetjem, ki trgujejo z njimi. Eno najbolj znanih je Zerodium, ki ga je ustanovil francoski strokovnjak Chaouki Bekrar. Pred tem je bil ustanovil tudi skupino VUPEN, ki je bila znana kot eden najuspešnejših udeležencev hekerskih tekmovanj, kot je Pwn2Own, in kot velik preprodajalec ranljivosti različnim državnim službam po celem svet. Zerodium redno odkupuje ranljivosti po visokih cenah, občasno pa objavi posebno akcijo, kadar potrebuje ranljivost za točno določen sistem.

To pot ponujajo
pol milijona dolarjev nagrade za prvenstveno odkrite (zero-day) ranljivosti v Unixovih operacijskih sistemih (OpenBSD, FreeBSD in NetBSD) ter v več distribucijah Linuxa (Ubuntu, CentOS, Debian, Tails). Višina nadomestila je odvisna od resnosti ranljivosti. Preprosta eskalacija privilegijev v Linuxu prinese do 30.000 dolarjev, če pa je luknja v jedru oziroma kako drugače zadeva vse distribucije, gre tudi do 100.000 dolarjev. Luknje, ki omogočajo oddaljeno izvajanje kode na Linuxu, pa prinesejo do 500.000 dolarjev. Še višje so cene nekaterih ranljivosti v iPhonu, kjer lahko zaslužimo tudi poldrugi milijon dolarjev.

Chaouki Bekrar je pojasnil, da so cene odvisne od tržnega deleža platforme, ki je zlomljena. To pomeni, da je namiznih računalnikih luknja v Windows dragocenejša kot v Linuxu, za strežnike pa velja obratno. Še vedno so najdragocenejše luknje v mobilnih napravah. Zerodium ima vedno dve ali tri ranljivosti za katerokoli priljubljeno platformo, ki jih prodajajo zainteresiranim kupcem, ves čas pa so na preži za novimi. Ker niso dobrodelna ustanova, je logično sklepati, da z milijonsko ranljivosti iztržijo še bistveno več. Različne države so namreč zelo zainteresirane za informacije o teh ranljivostih, ki so jih pripravljene zelo drago plačati. Zato so programi prijavljanja ranljivosti proizvajalcem (bug bounty), kjer lahko v najboljšem primeru računamo na nekaj tisoč dolarjev, relevantni samo za zelo poštene in načelne, predvsem pa preskrbljene hekerje.

6 komentarjev

Master_Yoda ::

Kako je to sploh legalno ? Drzava v kateri to podjetje posluje kar pusti da se ranljivosti v OSih preprodajajo, ne glede na to da so lahko oni tarca napada s taksno ranljivostjo.

Razen seveda ce imajo "svoje" v teh podjetjih in imajo svoje naprave ze ustrezno popatchane preden se ranljivost proda.

filip007 ::

Popravek mora narediti proizvajalec opreme, oni bolj težko.
#Plejstejšon.

PARTyZAN ::

"Proizvajalec" bi že zaflikal, problem je samo v tem, da je ostalim v interesu, da so napake čim dlje skrite.
i7 6700K | GTX970 | Z170 PG | 16 GB DDR4-2666
Leadex Gold 650W | Xonar Phoebus | Samsung 830 256GB

Furbo ::

Taka podjetja že nimajo svojih okostnjakov v na internet povezanih mašinah.
Lp,f

Matthai ::

Hackingteam tudi ne?
All those moments will be lost in time, like tears in rain...
Time to die.

wechta ::

Verjemi, da država ne samo ve za ranljivost ampak tudi kdo jo je kupil.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Cene za ranljivosti v programski opremi rastejo

Oddelek: Novice / Varnost
63705 (2874) FTad
»

Milijonski vdor v iOS 9

Oddelek: Novice / Apple iPhone/iPad/iPod
4812954 (9064) nekikr
»

Tudi Microsoft bo plačeval za najdene ranljivosti

Oddelek: Novice / Varnost
133493 (2147) filip007
»

Facebook širi program nagrajevanja odkritih ranljivosti

Oddelek: Novice / Varnost
52643 (1702) Jst
»

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

Oddelek: Novice / Varnost
4012789 (9828) Iatromantis

Več podobnih tem