Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Dziura za 250 000 dolarów

Rekomendowane odpowiedzi

Dziury typu zero-day stały się bardzo poszukiwanym towarem. Osiągnęły one takie ceny, że kwoty oferowane przez producentów oprogramowania zupełnie nie odpowiadają ich rzeczywistej wartości.

Google płaci 3177,70 USD za luki w Chrome. Z kolei założone przez HP Zero Day Initiative oferuje nawet 10 000 dolarów za wyjątkowo groźne dziury. To jednak śmiesznie małe pieniądze, w porównaniu z tymi, które oferuje mieszkający w Bangkoku haker o pseudonimie Grugq. Osoby, które znają jego lub podobnych mu pośredników, mogą liczyć na bardzo duży zarobek od klientów Grugqa. Mężczyzna jest tylko pośrednikiem, przekazującym pieniądze pomiędzy odkrywcą dziury, a kupcem. Sam zatrzymuje dla siebie prowizję w wysokości 15%. I nieźle na tym zarabia.

Najwyżej wyceniane są dziury w iOS. Ostatnio Grugq uczestniczył w transakcji o wartości 250 000 dolarów. Myślę, że cena była zbyt niska. Klient był aż za bardzo zadowolony - mówi Grugq reporterom Forbesa.

Z podanych przez niego informacji wynika, że najniższą cenę, od 5 do 30 tysięcy USD, osiągają luki w Adobe Readerze. Wyżej wyceniane są dziury w Mac OS X (20-50 tysięcy USD), a następnie w Androidzie (30-60 tysięcy dolarów). Za luki we wtyczkach Flash i Java dla przeglądarek można otrzymać 40-100 tysięcy USD. Dziury w Wordzie kosztują 50-100 tysięcy, a w Windows 60-120 tysięcy dolarów. Drożej można sprzedać luki w Firefoksie i Safari (60-150 tysięcy) oraz IE i Chrome (80-200 tysięcy). Wszelkie rekordy biją dziury w iOS, osiągające cenę od 100 do 250 tysięcy dolarów.

Najwyższe ceny osiąga się za najbardziej niebezpieczne dziury, występujące w najnowszych wersjach oprogramowania, przy sprzedaży ich na wyłączność oraz bez informowania producenta oprogramowania o luce.

O cenie dziury decyduje też popularność oprogramowania oraz łatwość przeprowadzenia ataku. Z jednej więc strony dziury dla Mac OS X są tańsze od dziur dla Windows, gdyż system Apple’a jest znacznie mniej popularny, z drugiej luki na iOS-a są wyceniane wyżej niż na Androida, ponieważ iOS-a znacznie trudniej jest złamać.

Grugq zdradził też, kto kupuje dziury. Mówi, że jego głównymi klientami są... zachodnie rządy, przede wszystkim rząd USA. Robi tak nie tylko z przyczyn etycznych, ale również finansowych. Sprzedaż dziury rosyjskiej mafii oznacza, że bardzo szybko zostanie ona odkryta. Oni płaca niewiele - mówi Grugq, dodając, że nie ma kontaktów z rosyjskim rządem. Rosja jest przesiąknięta kryminalistami. Wykorzystują dziury w najbardziej prosty i brutalny sposób, ponadto oszukują się nawzajem - dodaje.

Mężczyzna nie sprzedaje też dziur Chińczykom, gdyż rząd w Pekinie ma wielu hakerów, którzy bardzo tanio sprzedają mu informacje o lukach. Z kolei na Bliskim Wschodzie i w innych regionach Azji nie ma nikogo, kto zapłaciłby tyle, co zachodnie rządy. Aż 80% transakcji dokonuje z rządem USA, chociaż niektórzy z pracujących dlań ludzi zastrzegają, że dziury można sprzedać tylko rządom państw europejskich. Grugq zdradza, że działa na hakerskiej scenie od ponad 10 lat i spotkał przedstawicieli wielu różnych amerykańskich agend rządowych. Wie, jakie mają wymagania i czego oczekują od kupowanego towaru. „Po prostu sprzedaję komercyjne oprogramowanie. Musi być dobrze napisane, musi być załączona dokumentacja. Jedyna różnica między mną a sprzedawcami innego komercyjnego oprogramowania jest taka, że ja sprzedaję tylko jedną licencję i wszyscy mówią, że jestem zły“.

Ostrym krytykiem takich praktyk jest Chris Soghoian z Open Society Foundations, który twierdzi, że ludzie tacy jak Grugq to „współcześni handlarze śmiercią“. Gdy jedna z tych dziur, sprzedana rządowi, trafi do rąk cyberprzestępców, którzy uderzą w krytyczną infrastrukturę USA, gówno rozpryśnie się na wentylatorze - mówi.

Jego zdaniem specjaliści ds. bezpieczeństwa nie powinni współpracować z takimi pośrednikami.

Grugq odpowiada: Chińczycy szpiegują na masową skalę. Soghoian chce zakazać sprzedaży oprogramowania - o, przepraszam - dziur, amerykańskim i europejskim sojusznikom? Jedynym efektem takiego postępowania będzie zwiększenie się przewagi Chin, a Zachód pozostanie w tyle.

Rynek dziur rozwija się bardzo dynamicznie i działa na nim wiele firm. Większość kupujących wykorzystuje luki w celu szpiegowania innych. Ostatnio jednak firma Netragard sprzedała za 125 000 dolarów informację o dziurze pewnemu przedsiębiorstwu, które chce jej użyć podczas działań marketingowych.

Adriel Desautels z Netregard zdradził, że jeszcze kilka lat temu do jego firmy zgłaszało się miesięcznie 4-6 odkrywców dziur typu zero-day. Teraz w każdym miesiącu otrzymuje 12-14 ofert pośrednictwa w sprzedaży luk.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jak gówno rozpryśnie się na wentylatorze, to Bob zostanie Twoim wujem :).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wiem, wiem.. celowo zrobiłem z tego dosłowną wypowiedź, bo sądzę, że Soghoianowi chodziło o bardzo dosadne określenie, a nie coś w rodzaju "i cała sprawa się wyda", "i utracimy nad tym kontrolę".

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...