Комментарии 53
НЛО прилетело и опубликовало эту надпись здесь
Достоверно известно, что одну из 0day-уязвимостей браузера IE компания Vupen продала в АНБ
Разве у АНБ нет своего бэкдора? Зачем им чужой.
Разве у АНБ нет своего бэкдора? Зачем им чужой.
Про «No More Free Bugs» было давно озвучено — и это правильный подход.
Правда большой вопрос: насколько такая деятельность противоречит законодательству…
Правда большой вопрос: насколько такая деятельность противоречит законодательству…
Google, Microsoft нужно срочно поднимать ценники за найденные уязвимости. Иначе всем выгоднее сливать их в указанные выше компании.
НЛО прилетело и опубликовало эту надпись здесь
Продавать эксплойты Гуглу и Майкрософту невыгодно: они ж их пофиксят.
НЛО прилетело и опубликовало эту надпись здесь
Шикарный план. Только вот пацаны могут не понять.
НЛО прилетело и опубликовало эту надпись здесь
Возможно я заблуждаюсь и не знаю тонкостей, но мне кажется логичным не продавать эксплоиты вендорам:
1) Чем дольше открыта дыра, тем больше шанс, что эксплоит у меня купит кто-нибудь ещё
2) Если я не пытаюсь получить как можно денег как можно быстрее, то идея продавать эксплоиты вендорам, мне кажется странной. Если я зарабатываю на дырах, зачем мне помогать вендорма их латать. По-моему, это противоестественно.
1) Чем дольше открыта дыра, тем больше шанс, что эксплоит у меня купит кто-нибудь ещё
2) Если я не пытаюсь получить как можно денег как можно быстрее, то идея продавать эксплоиты вендорам, мне кажется странной. Если я зарабатываю на дырах, зачем мне помогать вендорма их латать. По-моему, это противоестественно.
А всеравно жизнь эксплоита довольно коротка до обнаружения, как только его начнут использовать — он где-то засветится и станет известным.
Чтоб новые эксплоиты поднимались в цене, очевидно. Если есть один активный, то смысл покупать новые теряется, два, три, четыре, зачем покупать бесконечно, а если они фиксятся, то тут требуются новые.
Нужна текучка )
Нужна текучка )
Текучка не нужна. Чем дольше актуален текущий эксплоит, тем больше есть времени на поиск новых, тем самым обеспечивая себе будущее на долгое время вперед. А продавать можно разным клиентам до тех пор, пока он постепенно не попадет в массы и не обесценится. Выплюнуть на рынок все сразу — оставить себя без запаса хлеба.
Хм… а что если понемногу скупать методом краудфандинга экспойты для Open Source софта, и передавать разработчикам чтобы исправляли?
Я бы поддержал такую инициативу, многие другие, думаю, тоже. С коммерческим ПО всё немного иначе, пока покупается им по большому счёту всё равно на уязвимости.
Я бы поддержал такую инициативу, многие другие, думаю, тоже. С коммерческим ПО всё немного иначе, пока покупается им по большому счёту всё равно на уязвимости.
Вам мало зарепорченных, но не пофиксенных багов? Багрепорты все горазды клепать. Кто фиксить будет?
Баги бывают разными. 0-day должны иметь более высокий приоритет как не крути. В любом нормальном трекере есть опция отправки ошибки безопасности, которая изначально является приватной.
НЛО прилетело и опубликовало эту надпись здесь
Пацаны не поймут.
НЛО прилетело и опубликовало эту надпись здесь
Toe shoes: www.google.com/search?q=toe+shoes&tbm=isch
www.vibramfivefingers.com/
Что-то вроде веганской колбасы для любителей ходить босиком. вроде и босиком, а коже пяток ничего не угрожает…
Что-то вроде веганской колбасы для любителей ходить босиком. вроде и босиком, а коже пяток ничего не угрожает…
DELETED, ошибся…
Для использования этих самых 0-day эксплоитов так же придется обманывать охранников на предприятиях и проникать на закрытые объекты?)
У компании Tipping Point (ныне HP) уже много лет есть так называемый Zero Day Initiative (ZDI), портал, где можно продать найденные 0day уязвимости за денежку.
Эдак вендоры сами начнут втихую продавать свои «0-day» через подставных лиц.
100 тыщ баксов то не лишние!
100 тыщ баксов то не лишние!
Если взлом является незаконным действием, значит что и информация, добытая таким способом не является достоверной уликой?
Конечно не будет являться уликой… но информация гораздо больше чем улика. Её можно проверить, выявить закономерности на основе полученной информации и идти за настоящими уликами.
Если взлом является незаконным действием
Не всегда.
Если взлом был совершен незаконно — то не является, как я понимаю.
Но это не проблема, можно, например, незаконно прослушать телефон, узнать где произойдет следующая передача «товара» и накрыть всех участников с поличным. Результаты незаконной прослушки уликой не будут, но законных улик будет более чем достаточно.
Но это не проблема, можно, например, незаконно прослушать телефон, узнать где произойдет следующая передача «товара» и накрыть всех участников с поличным. Результаты незаконной прослушки уликой не будут, но законных улик будет более чем достаточно.
Дожили, хотите багу? пожалуйста покупайте, хотите сервис для мобильной слежки? — пожалуйста, у нас как раз новые тарифы! Все законно.
Скоро еще продажу ботнетов узаконят, а там и до введения легально сервиса по устранению нехороших людей недалеко.
Скоро еще продажу ботнетов узаконят, а там и до введения легально сервиса по устранению нехороших людей недалеко.
Та был уже такой сервис в торе
«Assasin market» — не взлетел.
«Assasin market» — не взлетел.
Причина этой порочной практики в отсутствии любых гарантий на софт. Тойота чуть по миру не пошла с багами в своих машинах несколько лет назад. А массовые отравления от багов в еде (такой пищевой ДОС) — уголовщина даже для спецслужб. Вакханалия с 0-day сойдет на нет с возвратами некачественного софта и исками об убытках и причинении вреда.
Объясните мне пожалуйста, на чём базируется идея о том, что правоохранительные органы/спецслужбы могут применять эксплоиты _легально_?
Интересы национальной безопасности?
Примерно на том же, на чем базируется легальное применение оружия.
Не вижу очевидной связи, но понимаю аналогию. У применения оружия есть, очевидно, некое правовое поле. Как оно соотносится с использованием эксплоитов?
Эксплоит — это кибероружие.
Значит ли это, что полицейский может добыть улики благодаря применению или угрозе применения оружия? Даже если поставить знак тождества между оружием и «кибероружием». В большей степени, это напоминает следующую ситуацию:
1. Спецслужбы могут применять эксплоиты, потому что их операции засекречены и никто не сможет притащить виновных в суд
2. Полиция применяет эксплоиты скрытно, а потом добывает легальные улики, которые уже идут в дело
1. Спецслужбы могут применять эксплоиты, потому что их операции засекречены и никто не сможет притащить виновных в суд
2. Полиция применяет эксплоиты скрытно, а потом добывает легальные улики, которые уже идут в дело
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Кевин Митник осваивает профессию будущего