Стартап 0day'щика

    Бизнес модель


    Писать патчи для open source софта, с их помощью внося туда баги. Затем, писать эксплоиты для своих же багов и продавать их от 3000$ за тушку.

    Реализация


    Конечно, мэйнтэйнеры OSS не дураки и очевидные ошибки в релиз не пропустят. В связи с этим необходимо чёткое планирование коммитов багонесущих патчей, с тем, чтобы один баг размазать по десятку патчей, внося к тому же изрядную долю избыточности, для страховки на случай, если какие-то патчи не попадут в stable-версию. Плюс к тому, в мире OSS открыты технологии тестирования любого серьезного продукта, будь то kernel или firefox, так что обход системы тестирования также не является непреодолимой задачей.

    Проблемы


    1. Для программиста, пишущего бизнес-приложения, исходники OSS и документация к ним являются типичным кошмаром не совместимым с жизнью (по своему опыту знаю...), так что на роль исполнителей придётся брать самих авторов OSS или активных членов комьюнити с опытом ковыряния в завалах дефайнов от 3х лет, что само по себе может быть проблемой. Думаю, что не каждый пейсатель согласится портить лелеемый им самим софт…
    Решение:
    С другой стороны, достаточно найти одного человека понимающего архитектуру жертвы и солидарного с вами в гнусных планах, а ничего не подозревающих кодировщиков полностью официально нанять на соответствующих форумах, они даже рады будут, что кто-то им платит за то, что они и так делают. :)
    2. Высокий риск того, что а) ваши баги наложатся на чужие и перестанут работать б) мэйнтейнеры не закоммитят важные части «вредоносного» кода. В обоих случаях инвестиции оказываются под угрозой.
    Решение:
    Что-то конкретное посоветовать сложно, тут всё зависит от того, кто будет проектировать баг, какую долю redundancy заложит в патчи, как проследит за процессом коммита. В любом случае, тут всё зависит только от стартапщиков.

    Деньги


    Если принять среднюю стоимость чистого 0day RCE для браузера (не будем показывать пальцем) за 3k$, а число проданных копий, пока уязвимость остаётся в кулуарах, может достигнуть двадцати-тридцати легко посчитать выручку в среднем 75000$, из которых, по умозрительным прикидкам, 5k at max идёт на программистов, а с архитектором (если это не вы сами) — как договоритесь.
    В целом бизнес похож на высокорентабельный и не сильно уголовный.

    Prerequisites


    1. Деньги. Чем больше — тем лучше, но 5k$ — имхо за глаза.
    2. Связи. Обязательно нужно точно знать кто у вас сплоит купит, желательно несколько человек знать персонально.
    3. Время. Готовность рискнуть деньгами, заморозив их на время проекта, которое опять же разное, в зависимости от release-cycle'а продукта.

    «Бизнес должен быть социально ответственным!»


    Трудно переоценить влияние подобных групп, буде они появятся, для мира OSS, ибо сама возможность описанного мной сценария — бомба с часовым механизмом для самых основ коллективной разработки софта, и упаси Гейтс, чтобы она не сработала на нашем веку…
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 36

      0
      Ломать не строить... =\
        0
        В данном конкретном случае правильно сломать — даже сложнее, чем построить. То есть не сложнее, а просто работы больше, ведь просто набор полезных патчей сделать — это одно, а вот в этот набор невидимо включить "полезную нагрузку", жа ещё со всеми требованиями к устойивости и избыточности — это совсем другое. Это искусство!
          0
          *, да
        –1
        не пали конторку, братишка
          0
          А чего тут палить? Всё что я написал - очевидно, даже цифры на секлабе проскакивали не раз :) Тем более, что запалить кого-то конкретного при правильном подходе вообще невозможно, равно как и бороться с этим.
            0
            да это так, шутка

            бороться можно - не принимать контрибуции кода от кого попало
              0
              Делить народ на кого попало и не кого попало можно во первых, если этого народу много, во вторых — не вдруг и отличишь первых от вторых... Понятно, что в Kernel или FireFox так подсунуть сложно, хотя бы в виду того, что сама задача сделать полезное добавление — нетривиальна. А вот в проекты поменьше, с небольшим количеством девов, большой роадмапой и большим количеством установок — запросто. Ещё и спасибо скажут...
                0
                я вообще против такого подхода к opensource - когда всем миром код пишется

                на мой взгляд, код должна писать маленькая группа людей (1-5 человек) с тесным co-operation

                а все остальное общество в таком случае выполняет роль лишь ревьюеров кода
                  +1
                  Я конечно не владею информацией насчёт соотношения количества правок в популярных продуктах постоянными членами группы и случайными людьми, но уверен, что правки от случайных людей не такая уж и редкость и бесполезность.
                  Насчёт полезности простой пример: лет пять назад писал плагин к Миранде, нашёл в ней багу, в менеджере сервисов. Бага шибко мешала, я её пофиксил. Если бы я, как настоящий ССЗБ, не закоммитил патч - вероятно каждый релиз мне пришлось бы пересобирать со своими патчами. Кому оно надо?
                  Когда никто не несёт ответственности за качество продукта, имхо только такие патчи и вытягивают всё в целом.
                    0
                    можно было бы запостить в багтрекер и ждать пока баг пофиксят :)
                      0
                      И какая тогда мне вообще разница опен- или клозет- сорс, если нельзя коммитить туда? Если единожды выполненную мной работу по выявлению и устранению баго, придётся делать ещё раз мэйнтейнерам?
                        0
                        так ведь сила опенсорса далеко не в возможности любому что-то исправить, это, имхо, наоборот минус

                        информация должна быть открыта.. вот и вся фишка

                        так ты сможешь, как минимум, половину работы по устранению бага сам сделать - отладить и найти причину в коде
          0
          Интересная тема, не знал о такой «отрасли».
          • НЛО прилетело и опубликовало эту надпись здесь
            • НЛО прилетело и опубликовало эту надпись здесь
                0
                ИМХО, это ваша личная проблема, что вы восприняли статью как руководство к действию

                попробуйте переосмыслить
                +1
                Если бы только хабр… Мне кажется здесь речь о неуважении к людям и наплевательском отношении в принципам опенсорса, которые, в частности, предполагают добрые намерения.
                  +2
                  ...Вы признаётись виновным в наплевательском отношении в принципам опенсорса и приговариваетесь к смертной казни через прочтение и понимание исходного кода Firefox...
              • НЛО прилетело и опубликовало эту надпись здесь
                  0
                  Пубертатный период закончится - поговорим :D
                  +2
                  Такой бизнес - он как ритуальные услуги. Заниматься им очень выгодно, но как-то вот что-то внутри не хочет категорически...
                    0
                    Ага, ага. Точно сказано...
                    0
                    Весело :) Только я не пойму, почему конвейер не используется на полную? Дырка -> эксплоит -> троян -> письма счастья со ссылкой -> ботсеть -> спам + шантаж + ддосы на заказ. Так можно было бы гораздо больше денег срубить, а уголовка все та же.

                    Да, и s/OSS/СПО/g :)
                      0
                      Я тут рассматриваю только первые 2 пункта цепочки, про остальное можно писать вечно :) А смысл замены OSS на SPO не понял...
                        0
                        Ну так же самое то в последнем пункте. Там уже и мазду тройку можно купить.

                        P.S.:
                        OSS: opensource software
                        СПО: свободное программное обеспечение
                          0
                          Ааа... Я просто всегда употреблял СПО как "Специализированное Программное Обеспечение", отраслевое типа.
                      0
                      Между прочим, очень интересные мысли в этой идее.
                      А параноики вообще должны яростно плюсовать пост :)
                        +4
                        Я не параноик, но плюсанул :)

                        Во-первых, интересно, что 0day-щику придется написать штук 5 полезных, а самое главное близкостоящих, патчей, чтобы подготовить там место для дырки. Это должна быть серъезная переработка одного участка кода. Скорее всего существенная оптимизация, рефакторинг или отладка. А саму дырку закроют через несколько дней после того, как объявится эксплоит. В сухом остатке — хорошо проверенный, оптимизированный, отлаженный код написанный специалистом (чтоб такое провернуть, нужно знать свое дело). А это уже плюс.

                        Во-вторых, намечается новая область для соревнования между мечом и щитом. В этот раз между патчером-злоумышленником и системой тестирования. Значит последние станут умнее, что положительно скажется на качестве кода всех проектов, не только СПО. Это тоже хороший плюс :)
                        0
                        если бы это был в разделе "Юмор на Хабре" поставил бы плюс.
                        но если это не шутка, мне жаль вас и всех пользователей этой OSS.
                        если бы все пчёлы были трутнями, то не кому бы было делать мёд.
                          0
                          NB: OSS = OpenSource Software. Любой продукт с открытым кодом.
                            0
                            тем более ))
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            И так понятно, что в бэхоцэ :)
                            • НЛО прилетело и опубликовало эту надпись здесь
                                0
                                It was an intent, сходите по ссылке :)
                                • НЛО прилетело и опубликовало эту надпись здесь

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое