» »

Ranljivosti v oblačni programski opremi gredo za pol milijona dolarjev

Ranljivosti v oblačni programski opremi gredo za pol milijona dolarjev

Slo-Tech - Zerodium, znano podjetje, ki se ukvarja z odkupovanje in preprodajo ranljivosti v programski opremi, je sporočilo, da bo odkupilo informacije o ranljivostih v programski opremi za storitve v oblaku, denimo v VMware ESXi (VSphere) ali Microsoft Hype-V. Za ranljivosti, ki delujejo na običajno nastavljenih napravah in omogočijo pobeg od gostitelja do gosta (Guest-to-Host escape), ponujajo do 500.000 dolarjev. Čeprav se to sliši veliko, pa gre v resnici za precej nizek znesek za resnično neznane (0day) ranljivosti.

Zerodium, ki ga je ustanovil Chaouki Bekrar, ki je bil znan kot vodja francoskega VUPEN-a, namreč ni edini igralec, ki odkupuje ranljivosti. Hudo konkurenco ima tudi v državnih ustanovah, denimo v ameriški NSA. Ta naj bi imela precej velik arzenal ranljivosti in tudi nakupovala nove, kar pa NSA zanika. Toda NSA je v preteklosti odkupovala ranljivosti celo od VUPEN-a in naj bi podobno počela še danes.

Podobne ponudbe Zerodium sicer večkrat objavi. Za ranljivosti običajno plačujejo fiksne zneske, vsake toliko časa pa objavijo boljše ponudbe, ko želijo izboljšati svoj portfelj ranljivosti s točno določenimi izdelki. Tako so že ponujali dva milijona dolarjev za oddaljen jailbreak iOS-a, milijon dolarjev za napad na Tor, pol milijona dolarjev za vdor v aplikacije za hipno sporočanje in številne druge (Flash, usmerjevalniki in celo USB-ključki). Običajno te akcije - tako bo tudi s tokratno, je pojasnil Bekrar - trajajo nekaj mesecev. Za zadnjo akcijo so se odločili, ker so opazili povečano povpraševanje kupcev po tovrstnih ranljivostih. To ni presenetljivo, saj AWS in Azure počasi prevzemata celotni trg.

0 komentarjev



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ranljivosti v Linuxu za pol milijona dolarjev, v iOS za poldrugi milijon

Oddelek: Novice / Varnost
62010 (1186) wechta
»

Cene za ranljivosti v programski opremi rastejo

Oddelek: Novice / Varnost
63343 (2512) FTad
»

FBI za odklep iPhona 5C plačal več kot milijon dolarjev

Oddelek: Novice / Ostale najave
94267 (2515) D3m0r4l1z3d
»

Milijonski vdor v iOS 9

Oddelek: Novice / Apple iPhone/iPad/iPod
4812136 (8246) nekikr
»

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

Oddelek: Novice / Varnost
4012308 (9347) Iatromantis

Več podobnih tem