Комментарии 53
НЛО прилетело и опубликовало эту надпись здесь
Достоверно известно, что одну из 0day-уязвимостей браузера IE компания Vupen продала в АНБ
Разве у АНБ нет своего бэкдора? Зачем им чужой.
Разве у АНБ нет своего бэкдора? Зачем им чужой.
+1
Про «No More Free Bugs» было давно озвучено — и это правильный подход.
Правда большой вопрос: насколько такая деятельность противоречит законодательству…
Правда большой вопрос: насколько такая деятельность противоречит законодательству…
0
Google, Microsoft нужно срочно поднимать ценники за найденные уязвимости. Иначе всем выгоднее сливать их в указанные выше компании.
+2
НЛО прилетело и опубликовало эту надпись здесь
Продавать эксплойты Гуглу и Майкрософту невыгодно: они ж их пофиксят.
+3
НЛО прилетело и опубликовало эту надпись здесь
Шикарный план. Только вот пацаны могут не понять.
+33
НЛО прилетело и опубликовало эту надпись здесь
Возможно я заблуждаюсь и не знаю тонкостей, но мне кажется логичным не продавать эксплоиты вендорам:
1) Чем дольше открыта дыра, тем больше шанс, что эксплоит у меня купит кто-нибудь ещё
2) Если я не пытаюсь получить как можно денег как можно быстрее, то идея продавать эксплоиты вендорам, мне кажется странной. Если я зарабатываю на дырах, зачем мне помогать вендорма их латать. По-моему, это противоестественно.
1) Чем дольше открыта дыра, тем больше шанс, что эксплоит у меня купит кто-нибудь ещё
2) Если я не пытаюсь получить как можно денег как можно быстрее, то идея продавать эксплоиты вендорам, мне кажется странной. Если я зарабатываю на дырах, зачем мне помогать вендорма их латать. По-моему, это противоестественно.
+2
А всеравно жизнь эксплоита довольно коротка до обнаружения, как только его начнут использовать — он где-то засветится и станет известным.
-2
Чтоб новые эксплоиты поднимались в цене, очевидно. Если есть один активный, то смысл покупать новые теряется, два, три, четыре, зачем покупать бесконечно, а если они фиксятся, то тут требуются новые.
Нужна текучка )
Нужна текучка )
+4
Текучка не нужна. Чем дольше актуален текущий эксплоит, тем больше есть времени на поиск новых, тем самым обеспечивая себе будущее на долгое время вперед. А продавать можно разным клиентам до тех пор, пока он постепенно не попадет в массы и не обесценится. Выплюнуть на рынок все сразу — оставить себя без запаса хлеба.
0
Хм… а что если понемногу скупать методом краудфандинга экспойты для Open Source софта, и передавать разработчикам чтобы исправляли?
Я бы поддержал такую инициативу, многие другие, думаю, тоже. С коммерческим ПО всё немного иначе, пока покупается им по большому счёту всё равно на уязвимости.
Я бы поддержал такую инициативу, многие другие, думаю, тоже. С коммерческим ПО всё немного иначе, пока покупается им по большому счёту всё равно на уязвимости.
-4
Вам мало зарепорченных, но не пофиксенных багов? Багрепорты все горазды клепать. Кто фиксить будет?
+28
Баги бывают разными. 0-day должны иметь более высокий приоритет как не крути. В любом нормальном трекере есть опция отправки ошибки безопасности, которая изначально является приватной.
+3
… И всем пофигу. Как-то отправил бубунтовцам баг про падающий с segmentation faullt sshd, в ответ «ну..., это в нестандартной ситуации, вы это, того, пишите разработчикам, а то нам лениво и так всё хорошо».
Баг до сих пор открытый висит. Хотя, казалось бы, segmentation fault в essential пакете…
Баг до сих пор открытый висит. Хотя, казалось бы, segmentation fault в essential пакете…
+3
НЛО прилетело и опубликовало эту надпись здесь
Пацаны не поймут.
+1
НЛО прилетело и опубликовало эту надпись здесь
Toe shoes: www.google.com/search?q=toe+shoes&tbm=isch
0
www.vibramfivefingers.com/
Что-то вроде веганской колбасы для любителей ходить босиком. вроде и босиком, а коже пяток ничего не угрожает…
Что-то вроде веганской колбасы для любителей ходить босиком. вроде и босиком, а коже пяток ничего не угрожает…
0
DELETED, ошибся…
0
Для использования этих самых 0-day эксплоитов так же придется обманывать охранников на предприятиях и проникать на закрытые объекты?)
+2
У компании Tipping Point (ныне HP) уже много лет есть так называемый Zero Day Initiative (ZDI), портал, где можно продать найденные 0day уязвимости за денежку.
0
Эдак вендоры сами начнут втихую продавать свои «0-day» через подставных лиц.
100 тыщ баксов то не лишние!
100 тыщ баксов то не лишние!
+7
Если взлом является незаконным действием, значит что и информация, добытая таким способом не является достоверной уликой?
+1
Конечно не будет являться уликой… но информация гораздо больше чем улика. Её можно проверить, выявить закономерности на основе полученной информации и идти за настоящими уликами.
+1
Если взлом является незаконным действием
Не всегда.
0
Если взлом был совершен незаконно — то не является, как я понимаю.
Но это не проблема, можно, например, незаконно прослушать телефон, узнать где произойдет следующая передача «товара» и накрыть всех участников с поличным. Результаты незаконной прослушки уликой не будут, но законных улик будет более чем достаточно.
Но это не проблема, можно, например, незаконно прослушать телефон, узнать где произойдет следующая передача «товара» и накрыть всех участников с поличным. Результаты незаконной прослушки уликой не будут, но законных улик будет более чем достаточно.
+1
Дожили, хотите багу? пожалуйста покупайте, хотите сервис для мобильной слежки? — пожалуйста, у нас как раз новые тарифы! Все законно.
Скоро еще продажу ботнетов узаконят, а там и до введения легально сервиса по устранению нехороших людей недалеко.
Скоро еще продажу ботнетов узаконят, а там и до введения легально сервиса по устранению нехороших людей недалеко.
+1
Та был уже такой сервис в торе
«Assasin market» — не взлетел.
«Assasin market» — не взлетел.
0
Причина этой порочной практики в отсутствии любых гарантий на софт. Тойота чуть по миру не пошла с багами в своих машинах несколько лет назад. А массовые отравления от багов в еде (такой пищевой ДОС) — уголовщина даже для спецслужб. Вакханалия с 0-day сойдет на нет с возвратами некачественного софта и исками об убытках и причинении вреда.
0
Объясните мне пожалуйста, на чём базируется идея о том, что правоохранительные органы/спецслужбы могут применять эксплоиты _легально_?
0
Интересы национальной безопасности?
0
Примерно на том же, на чем базируется легальное применение оружия.
+1
Не вижу очевидной связи, но понимаю аналогию. У применения оружия есть, очевидно, некое правовое поле. Как оно соотносится с использованием эксплоитов?
0
Эксплоит — это кибероружие.
0
Значит ли это, что полицейский может добыть улики благодаря применению или угрозе применения оружия? Даже если поставить знак тождества между оружием и «кибероружием». В большей степени, это напоминает следующую ситуацию:
1. Спецслужбы могут применять эксплоиты, потому что их операции засекречены и никто не сможет притащить виновных в суд
2. Полиция применяет эксплоиты скрытно, а потом добывает легальные улики, которые уже идут в дело
1. Спецслужбы могут применять эксплоиты, потому что их операции засекречены и никто не сможет притащить виновных в суд
2. Полиция применяет эксплоиты скрытно, а потом добывает легальные улики, которые уже идут в дело
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Кевин Митник осваивает профессию будущего