Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Coraz więcej hakerów-milionerów

Recommended Posts

Platforma HackerOne poinformowała, że liczba etycznych hakerów, którzy zostali milionerami dzięki znalezionym przez siebie i zgłoszonym błędom, wzrosła do sześciu osób.

HackerOne to jedna z pierwszych i największa obecnie firma, która postanowiła połączyć model współpracy społecznościowej pomiędzy badaczami, hakerami i firmami zainteresowanymi bezpieczeństwem z programem wypłacania nagród pieniężnych za zgłoszone dziury. Obecnie z HackerOne współpracuje około 200 000 badaczy ds. bezpieczeństwa, którzy odkryli dotychczach 72 000 dziur w ponad 1000 programach.

HackerOne jest finansowana przez firmy i fundusze inwestycyjne oraz prywatnych inwestorów. To właśnie z tej platformy korzystał w 2016 roku amerykański Departament Obrony, który ogłosił za jej pośrednictwem konkurs „Hack the Pentagon”. Jego uczestnicy znaleźli i załatali 138 dziur w witrynach Departamentu Obrony i otrzymali w sumie 70 000 dolarów nagrody. Sukces tej inicjatywy spowodował, że w kolejnych latach pojawiły się takie programy jak „Hack the Army” oraz „Hack the Air Force”.

W marcu bieżącego roku 19-letni Argentyńczyk Santiago Lopez został pierwszym etycznym hakerem, który na swojej działalności zarobił ponad 1 milion dolarów. Teraz HackOne informuje, że w ciągu kolejnych pięciu miesięcy barierę miliona dolarów na koncie przekroczyli kolejni hakerzy. Milionerami zostali Mark Litchfield z Wielkiej Brytanii, Frans Rosen ze Szwecji, Nathaniel Wakelam z Australii, ron Chan z Hongkongu oraz Tommy DeVoss z USA.


« powrót do artykułu

Share this post


Link to post
Share on other sites

H1 top popularna platforma bug-bounty, ale brokerzy podatności, tacy jak Zerodium, płacą znacznie więcej, więc i milionerów pośród hakerów jest więcej. Nie wspominając o pospolitych przestępcach z darknetu ;-)

Cennik Zerodium:
https://zerodium.com/program.html

Przykładowo zestaw podatności, który nie wymaga akcji użytkownika (tzw. zero-click), a który doprowadzi do wykonania kodu na iOS z możliwością instalacji malware z przetrwaniem reboota, kosztuje do 2 mln USD. Ostatnio cenny na exploity na Androida podrożały, górne widełki to już 2.5 mln USD ;-)

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites
13 minut temu, cyjanobakteria napisał:

Ostatnio cenny na exploity na Androida podrożały, górne widełki to już 2.5 mln USD ;-)

Linux się ceni? Nie dziwię się. ;)

Share this post


Link to post
Share on other sites
23 minutes ago, Astro said:

Linux się ceni? Nie dziwię się. ;)

Od czasu kiedy obserwuję, a robię to sporadycznie od kilku lat, to zawsze Windows i iOS przodowały w cenach. To jest wolny rynek. Podejrzewam, że na ceny exploitów wpływa trudności, czyli bezpieczeństwo danej platformy, ale i popularność czy bieżące/prognozowane zapotrzebowanie klientów.

Co do Androida, to się podciągnął w bezpieczeństwie. Google dba o bezpieczeństwo, ale problemem była zawsze fragmentacja urządzeń, dystrybucja poprawek i krótkie wsparcie urządzeń przez operatorów.

Sam korzystam z Linuksa od długiego czasu i preferuję ten system, ale muszę przyznać, że Windows ma teraz dość porządne bezpieczeństwo. Platforma jest pod obstrzałem od zawsze ze względu na popularność i MS musiał zainwestować w bezpieczeństwo. Ale dużo zależy też od użytkownika i podejrzewam, że typowy Linuksiarz jest częściej pasjonatem i jest bardziej ogarnięty niż typowy użytkownik Windowsa.

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites
7 minut temu, cyjanobakteria napisał:

podejrzewam, że typowy Linuksiarz jest częściej pasjonatem

Jako typowy linuksiarz od początku (rok 1993) i wcześniej unixarz (niechcący :P) jestem typowym nie tyle pasjonatem, co zwolennikiem NORMALNOŚCI. Polecam wszystkim. :D

Share this post


Link to post
Share on other sites
12 minutes ago, Astro said:

Jako typowy linuksiarz od początku (rok 1993) i wcześniej unixarz (niechcący :P) jestem typowym nie tyle pasjonatem, co zwolennikiem NORMALNOŚCI. Polecam wszystkim. :D

Ja od 2004 ;-) Miałem chyba ze 2 nieudane podejścia do Linuksa w 2002-2003 jako małolat. Było ciężko zainstalować aplikacje bez internetu, bo wszystko potrzebowało dociągnąć paczki. Do tego lubiłem pograć na komputerze i na początku miałem dwa systemy, ale korzystałem głównie z Linuksa od pierwszego roku studiów. To były fajne czasy, chociaż wsparcie sprzętu, głównie sterowników WiFi, kart graficznych i hibernacji, kulało ze względu na słabe wsparcie producentów. Ominął mnie UNIX, ale załapałem się na studiach na Solarisa.

Winda to teraz rozsądny system i nawet ciężko nienawidzić MS ;-) Wspierają open-source, portują aplikacje pod Windę (np. bash), działają w The Linux Fundation zdaje się. Większość maszyn w Azure chodzi na Linuksie, dlatego też wspierają projekt. Udostępniają narzędzia dla deweloperów, a ich przeglądarka nie już osią zła w wojnach przeglądarek.

W zastosowaniach naukowych to podejrzewam, że Linuks ma 99% ;-)

Share this post


Link to post
Share on other sites
3 minuty temu, cyjanobakteria napisał:

chociaż wsparcie sprzętu, głównie sterowników WiFi, kart graficznych i hibernacji,

Nie wiem czy zauważyłeś, ale mamy rok 2019... Jest zdecydowanie lepiej. :)

4 minuty temu, cyjanobakteria napisał:

Ominął mnie UNIX

Żałuj. Ominięcia Vaxa już nie wspomnę - jesteś do tyłu. :D

5 minut temu, cyjanobakteria napisał:

Winda to teraz rozsądny system i nawet ciężko nienawidzić MS ;-)

Mylisz się i to zdecydowanie. :P

6 minut temu, cyjanobakteria napisał:

W zastosowaniach naukowych to podejrzewam, że Linuks ma 99% ;-)

Tu też się mylisz. 99,9% to najmniej lekko licząc. :D

Share this post


Link to post
Share on other sites
7 minutes ago, Astro said:

Nie wiem czy zauważyłeś, ale mamy rok 2019... Jest zdecydowanie lepiej. :)

Chodziło mi o czasy 2000-2010. Porządne sterowniki do czipsetów od Broadcom i NVidia po prostu nie istniały. Karty graficzne po hibernacji nie wstawały, WiFi się wysypywało. To już na szczęście historia. Teraz ten sprzęt ma lepsze wsparcie na Linuksie, ze względu na różnorodność platform ;-) Chociażby GPU do liczenia AI.

9 minutes ago, Astro said:

Tu też się mylisz. 99,9% to najmniej lekko licząc. :D

Napisałem na początku 99,9%, ale się rozmyśliłem i zaokrągliłem, haha ;-)

Share this post


Link to post
Share on other sites
2 minuty temu, cyjanobakteria napisał:

Porządne sterowniki do czipsetów od Broadcom i NVidia po prostu nie istniały

Ale mówimy o tym roku? 2019? Swoją drogą nie cierpię nVidii. Nie stosuję i jestem zadowolony. :P

3 minuty temu, cyjanobakteria napisał:

To już na szczęście historia

No właśnie. :)

4 minuty temu, cyjanobakteria napisał:

Napisałem na początku 99,9%, ale się rozmyśliłem

Nie pomyliłbyś się pisząc 99,99%. :P

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Społeczność z południowej Tajlandii wyznaczyła nagrodę za schwytanie osoby bądź osób, które ukradły z plaży jaja krytycznie zagrożonego wyginięciem żółwia skórzastego (zachodniej populacji podgatunku Dermochelys coriacea schlegelii).
      Jaja skradziono w niedzielę przed świtem z plaży w prowincji Phang Nga - poinformował Pratom Rassamee, szef tutejszego Biura Zasobów Morskich i Przybrzeżnych.
      Thon Thamrongnawasawat, jeden z czołowych biologów morskich z Tajlandii, szacuje, że zginęło ok. 50 cennych jaj.
      Za schwytanie złodziei mieszkańcy ustanowili nagrodę w wysokości 50 tys. batów (1600 dol.). Drugie tyle dołożyły władze.
      Jaja są chronione prawnie. Za ich kradzież czy przywłaszczenie grozi kara więzienia od 3 do 15 lat oraz grzywna w wysokości od 300 tys. do 1,5 mln batów (9.950-49.760 dol.).
      Policja ściga złodziei. To zwierzę kochane przez okolicznych mieszkańców - podkreśla Rassamee i dodaje, że nagrania z kamer zlokalizowanych przy drodze mogą zapewnić pewne wskazówki co do tożsamości przestępców.
      Gniazd D.c. schlegelii nie było w Tajlandii od pięciu lat, aż do stycznia 2019 r. Żółwiom tym zagrażają drapieżniki, kłusownictwo jaj czy zmieniające się warunki środowiskowe.
      To dlatego ludzie są tak zasmuceni. Mam nadzieję, że policja schwyta winnych i sprawiedliwości stanie się zadość. Złodzieje muszą wiedzieć, że te jaja to nie pokarm i że znaczą one wiele zarówno dla Tajlandii, jak i dla całego świata - opowiada Rassamee.
      Obszar wokół plaży Thai Muang, gdzie odkryto gniazdo, był przez długi czas znany jako teren składania jaj.
      Regionalne Biuro Parku Narodowego wyznaczyło nagrodę w wysokości do 20 tys. batów dla osoby, która znajdzie nowe gniazdo na plażach prowincji Phang Nga i Phuket.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Grupa Thallium od miesięcy była na celowniku specjalistów z microsoftowych Digital Crimes Unit i Threat Intelligencje Center. W końcu 18 grudnia koncern z Redmond złożył do sądu wniosek przeciwko grupie. Tydzień później sąd wydał zgodę na przejęcie przez firmę ponad 50 domen wykorzystywanych przez hakerów.
      Thallium to cyberprzestępca grupa powiązana z rządem Korei Północnej, która wykorzystywała wspomniane domeny do przeprowadzania ataków. Wyspecjalizowała się w przeprowadzaniu precyzyjnych ataków phishingowych za pomocą e-maili. Przestępcy najpierw zbierali o ofierze jak najwięcej informacji, a następnie wysyłali do niej wiarygodnie wyglądający e-mail, którego zadaniem bylo skłonienie odbiorcy do wizyty na złośliwej witrynie.
      Jak poinformowali przedstawiciele Microsoftu, grupa brała na cel pracowników administracji rządowej, think-tanków, uczelni wyższych, członków organizacji działających na rzecz praw człowieka i pokoju oraz osoby pracujące nad problemami związanymi z rozprzestrzenianiem broni jądrowej. Jej ofiarami padali mieszkańcy USA, Japonii i Korei Południowej.
      Microsoft nie po raz pierwszy stosuje podobną taktykę do zwalczania grup cyberprzestępczych. Wcześniej przejmował domeny rosyjskich, chińskich i irańskich hakerów.
      Oczywiście przejęcie domen nie rozbija grupy hakerskiej. Jednak na jakiś czas zmniejsza lub paraliżuje jej aktywność, a specjaliści ds. bezpieczeństwa, analizując dane znalezione w przejętych domenach, mogą lepiej poznać taktykę cyberprzestępców.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Firma LifeLabs, największy kanadyjski dostawca usług laboratoryjnych, przyznała, że zapłaciła hakerom za zwrot danych 15 milionów klientów. Dnia 1 października firma poinformowała władze o cyberataku na bazę danych. Znajdowały się w niej nazwiska, adresy, adresy e-mail, loginy, hasła, numery w systemie opieki zdrowotnej oraz wyniki testów laboratoryjnych.
      Dyrektor wykonawczy firmy, Charles Brown, przyznał, że firma odzyskała dane dokonując płatności. Zrobiliśmy to we współpracy z ekspertami oraz po negocjacjach z cyberprzestępcami. Nie ujawniono, ile zapłacono złodziejom.
      Dotychczasowe śledztwo wykazało, że przestępcy uzyskali dostęp do testów wykonanych w roku 2016 i wcześniej przez około 85 000 osób. Dane dotyczące numerów w systemie opieki zdrowotnej również pochodziły z roku 2016 i lat wcześniejszych. Obecnie nie ma podstaw, by przypuszczać, że przestępcy przekazali te informacje komuś innemu.
      Teraz przedsiębiorstwo zaoferowało swoim klientom 12-miesięczny bezpłatny monitoring kradzieży danych osobowych oraz ubezpieczenie przed takim wydarzeniem.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Posiadanie szczeniaka wiąże się nie tylko z przyjemnościami, ale i z pewnymi uciążliwościami. Młode psy często gryzą meble, są nieposłuszne, mogą być agresywne. Dlatego też wielu właścicieli bardzo szybko rozpoczyna ich tresurę. Autorzy najnowszych badań ostrzegają jednak, że nawet dość łagodne karanie psa – krzyk czy szarpanie smyczą – podczas takiego treningu może spowodować, że wyrośnie on na bardziej pesymistycznie nastawione zwierzę, niż gdy tresura oparta jest na nagrodach.
      Tresura oparta na karach może być skuteczna w krótkim terminie, jednak takie metody mają negatywne konsekwencje na przyszłość. Tak szkolone psy żyją w ciągłym stresie, mówi biolog ewolucyjny Marc Bekoff z University of Colorado w Boulder, który nie był zaangażowany w najnowsze badania.
      Już z wcześniejszych badań wiemy, że tresura oparta na karach i tresura oparta na nagrodach zdają egzamin, jednak tresura oparta o kary może nieść negatywne konsekwencje. Jednak badania takie były przeprowadzane na psach policyjnych i laboratoryjnych, a nie na domowych pupilach. Ponadto metodą karania było założenie obroży rażącej psa prądem. Obroże takie są zakazane w wielu krajach.
      Ana Catarina Vieira de Castro z Uniwersytetu w Porto postanowiła sprawdzić, jak na tresurę opartą o kary reagują psy domowe. W tym celu wzięła pod lupę 42 psy ze szkół tresury, w których stosowano nagrody oraz 50 psów, które przechodziły tresurę opartą o kary. W pierwszym przypadku psy zachęcano do odpowiedniego zachowania dając im przysmaki czy pozwalając się bawić, w drugim zaś przypadku zwierzęta karano krzykiem, szarpaniem smyczy, a uczenie np. siadania polegało na naciskaniu bioder.
      Badacze nagrywali zachowanie psów w czasie tresury i testowali ich ślinę przed i po sesji tresury pod kątem występowania w niej hormonu stresu, kortyzolu. Psy przechodzące tresurę polegającą na karaniu wykazywały więcej zachowań typowych dla stresu, takich jak oblizywanie pyska, ziewanie, odnotowano też u nich wyższy poziom kortyzolu po powrocie do domu. Psy, których trening polegał na nagrodach, nie wykazywały ani zmian zachowania, ani zmian poziomu kortyzolu.
      Uczeni postanowili sprawdzić, czy skutki tresury utrzymywały się dłużej. Sprawdzili więc, jak 79 z tych psów reagowało na nagrodę w postaci przysmaku. Najpierw nauczyli zwierzęta, by kojarzyły jedną stronę pokoju z przysmakiem. W tej części pokoju znajdowała się bowiem miska z nagrodą. W drugiej części miska była pusta.
      Po takim treningu umieszczali pustą miskę w różnych pozycjach pomiędzy obiema częściami i obserwowali, w jaki sposób psy do niej podchodziły. Psy nastawione optymistycznie szybko podbiegały do miski, wykazując przy tym radośc. Psi pesymiści podchodzili znacznie wolniej. Takie zachowanie wskazuje na występowanie u psów lęku separacyjnego i innych zaburzeń osobowości. Zaobserwowano, że im więcej treningu opartego na karze, tym silniejsze objawy takich zaburzeń.
      Autorzy badań podkreślają, że nie sprawdzali, która z metod treningowych przynosi lepsze wyniki. Jednak ich eksperyment wyraźnie pokazuje, że właściciele psów powinni unikać tresury awersyjnej, polegającej na karaniu zwierzęcia. Jeśli zdecydujemy się, by naszego psa tresował ktoś obcy, powinniśmy zatem najpierw wypytać go o stosowane metody i porozmawiać z osobami, których psy miały już do czynienia z tym treserem.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Powiązani z chińskim rządem hakerzy z grupy APT41 włamali się do sieci wielkich firm telekomunikacyjnych, by móc podsłuchiwać rozmowy prowadzone przez światowych liderów. Eksperci z firmy FireEye Mandiant twierdzą, że hakerzy zainfekowali sieci narzędziem o nazwie MessageTap.
      Złośliwy kod został po raz pierwszy zauważony na linuksowych serwerach telekomunikacyjnych obsługujących SMS-y. Jego zadaniem było wyszukiwanie i kradzież treści wysyłanych przez osoby, którymi interesują się chińskie służby. Jak informuje FireEye, na celownik wzięto konkretne numery telefonów i numery IMSI. Wiadomości je zawierające były przechowywane w pliku CSV.
      Kradzione były też SMS-y zawierające słowa kluczowe związane z geopolityką. Były to na przykład treści zawierające interesujące Chińczyków nazwiska polityków, nazwy organizacji wojskowych i wywiadowczych oraz ruchów politycznych, czytamy w komunikacie FireEyer.
      firma ostrzega, że chińscy hakerzy zintensyfikowali swoje działania od roku 2017, gdy przekonali się, że ich działania pozwalają na zdobycie wielu poufnych informacji. W roku 2019 sama grupa APT41 zaatakowała cztery telekomy, a inne grupy powiązane z Pekinem wzięły na cel kolejne przedsiębiorstwa telekomunikacyjne.
      Poza operatorami telekomunikacyjnymi celem APT41 były też inne organizacje, takie jak firmy turystyczne czy zakłady opieki zdrowotnej, które posiadają informacje na temat interesujących osób, stwierdzają specjaliści FireEye. Jednocześnie zapewniono, że sprzęt, do którego włamali się Chińczycy nie został wyprodukowany przez Huawei.

      « powrót do artykułu
×
×
  • Create New...