Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Coraz więcej hakerów-milionerów

Recommended Posts

Platforma HackerOne poinformowała, że liczba etycznych hakerów, którzy zostali milionerami dzięki znalezionym przez siebie i zgłoszonym błędom, wzrosła do sześciu osób.

HackerOne to jedna z pierwszych i największa obecnie firma, która postanowiła połączyć model współpracy społecznościowej pomiędzy badaczami, hakerami i firmami zainteresowanymi bezpieczeństwem z programem wypłacania nagród pieniężnych za zgłoszone dziury. Obecnie z HackerOne współpracuje około 200 000 badaczy ds. bezpieczeństwa, którzy odkryli dotychczach 72 000 dziur w ponad 1000 programach.

HackerOne jest finansowana przez firmy i fundusze inwestycyjne oraz prywatnych inwestorów. To właśnie z tej platformy korzystał w 2016 roku amerykański Departament Obrony, który ogłosił za jej pośrednictwem konkurs „Hack the Pentagon”. Jego uczestnicy znaleźli i załatali 138 dziur w witrynach Departamentu Obrony i otrzymali w sumie 70 000 dolarów nagrody. Sukces tej inicjatywy spowodował, że w kolejnych latach pojawiły się takie programy jak „Hack the Army” oraz „Hack the Air Force”.

W marcu bieżącego roku 19-letni Argentyńczyk Santiago Lopez został pierwszym etycznym hakerem, który na swojej działalności zarobił ponad 1 milion dolarów. Teraz HackOne informuje, że w ciągu kolejnych pięciu miesięcy barierę miliona dolarów na koncie przekroczyli kolejni hakerzy. Milionerami zostali Mark Litchfield z Wielkiej Brytanii, Frans Rosen ze Szwecji, Nathaniel Wakelam z Australii, ron Chan z Hongkongu oraz Tommy DeVoss z USA.


« powrót do artykułu
  • Upvote (+1) 1

Share this post


Link to post
Share on other sites

Dysonans poznawczy, czy fakty bolą? W końcu więcej. :D

Share this post


Link to post
Share on other sites

H1 top popularna platforma bug-bounty, ale brokerzy podatności, tacy jak Zerodium, płacą znacznie więcej, więc i milionerów pośród hakerów jest więcej. Nie wspominając o pospolitych przestępcach z darknetu ;-)

Cennik Zerodium:
https://zerodium.com/program.html

Przykładowo zestaw podatności, który nie wymaga akcji użytkownika (tzw. zero-click), a który doprowadzi do wykonania kodu na iOS z możliwością instalacji malware z przetrwaniem reboota, kosztuje do 2 mln USD. Ostatnio cenny na exploity na Androida podrożały, górne widełki to już 2.5 mln USD ;-)

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites
13 minut temu, cyjanobakteria napisał:

Ostatnio cenny na exploity na Androida podrożały, górne widełki to już 2.5 mln USD ;-)

Linux się ceni? Nie dziwię się. ;)

Share this post


Link to post
Share on other sites
23 minutes ago, Astro said:

Linux się ceni? Nie dziwię się. ;)

Od czasu kiedy obserwuję, a robię to sporadycznie od kilku lat, to zawsze Windows i iOS przodowały w cenach. To jest wolny rynek. Podejrzewam, że na ceny exploitów wpływa trudności, czyli bezpieczeństwo danej platformy, ale i popularność czy bieżące/prognozowane zapotrzebowanie klientów.

Co do Androida, to się podciągnął w bezpieczeństwie. Google dba o bezpieczeństwo, ale problemem była zawsze fragmentacja urządzeń, dystrybucja poprawek i krótkie wsparcie urządzeń przez operatorów.

Sam korzystam z Linuksa od długiego czasu i preferuję ten system, ale muszę przyznać, że Windows ma teraz dość porządne bezpieczeństwo. Platforma jest pod obstrzałem od zawsze ze względu na popularność i MS musiał zainwestować w bezpieczeństwo. Ale dużo zależy też od użytkownika i podejrzewam, że typowy Linuksiarz jest częściej pasjonatem i jest bardziej ogarnięty niż typowy użytkownik Windowsa.

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites
7 minut temu, cyjanobakteria napisał:

podejrzewam, że typowy Linuksiarz jest częściej pasjonatem

Jako typowy linuksiarz od początku (rok 1993) i wcześniej unixarz (niechcący :P) jestem typowym nie tyle pasjonatem, co zwolennikiem NORMALNOŚCI. Polecam wszystkim. :D

Share this post


Link to post
Share on other sites
12 minutes ago, Astro said:

Jako typowy linuksiarz od początku (rok 1993) i wcześniej unixarz (niechcący :P) jestem typowym nie tyle pasjonatem, co zwolennikiem NORMALNOŚCI. Polecam wszystkim. :D

Ja od 2004 ;-) Miałem chyba ze 2 nieudane podejścia do Linuksa w 2002-2003 jako małolat. Było ciężko zainstalować aplikacje bez internetu, bo wszystko potrzebowało dociągnąć paczki. Do tego lubiłem pograć na komputerze i na początku miałem dwa systemy, ale korzystałem głównie z Linuksa od pierwszego roku studiów. To były fajne czasy, chociaż wsparcie sprzętu, głównie sterowników WiFi, kart graficznych i hibernacji, kulało ze względu na słabe wsparcie producentów. Ominął mnie UNIX, ale załapałem się na studiach na Solarisa.

Winda to teraz rozsądny system i nawet ciężko nienawidzić MS ;-) Wspierają open-source, portują aplikacje pod Windę (np. bash), działają w The Linux Fundation zdaje się. Większość maszyn w Azure chodzi na Linuksie, dlatego też wspierają projekt. Udostępniają narzędzia dla deweloperów, a ich przeglądarka nie już osią zła w wojnach przeglądarek.

W zastosowaniach naukowych to podejrzewam, że Linuks ma 99% ;-)

Share this post


Link to post
Share on other sites
3 minuty temu, cyjanobakteria napisał:

chociaż wsparcie sprzętu, głównie sterowników WiFi, kart graficznych i hibernacji,

Nie wiem czy zauważyłeś, ale mamy rok 2019... Jest zdecydowanie lepiej. :)

4 minuty temu, cyjanobakteria napisał:

Ominął mnie UNIX

Żałuj. Ominięcia Vaxa już nie wspomnę - jesteś do tyłu. :D

5 minut temu, cyjanobakteria napisał:

Winda to teraz rozsądny system i nawet ciężko nienawidzić MS ;-)

Mylisz się i to zdecydowanie. :P

6 minut temu, cyjanobakteria napisał:

W zastosowaniach naukowych to podejrzewam, że Linuks ma 99% ;-)

Tu też się mylisz. 99,9% to najmniej lekko licząc. :D

Share this post


Link to post
Share on other sites
7 minutes ago, Astro said:

Nie wiem czy zauważyłeś, ale mamy rok 2019... Jest zdecydowanie lepiej. :)

Chodziło mi o czasy 2000-2010. Porządne sterowniki do czipsetów od Broadcom i NVidia po prostu nie istniały. Karty graficzne po hibernacji nie wstawały, WiFi się wysypywało. To już na szczęście historia. Teraz ten sprzęt ma lepsze wsparcie na Linuksie, ze względu na różnorodność platform ;-) Chociażby GPU do liczenia AI.

9 minutes ago, Astro said:

Tu też się mylisz. 99,9% to najmniej lekko licząc. :D

Napisałem na początku 99,9%, ale się rozmyśliłem i zaokrągliłem, haha ;-)

Share this post


Link to post
Share on other sites
2 minuty temu, cyjanobakteria napisał:

Porządne sterowniki do czipsetów od Broadcom i NVidia po prostu nie istniały

Ale mówimy o tym roku? 2019? Swoją drogą nie cierpię nVidii. Nie stosuję i jestem zadowolony. :P

3 minuty temu, cyjanobakteria napisał:

To już na szczęście historia

No właśnie. :)

4 minuty temu, cyjanobakteria napisał:

Napisałem na początku 99,9%, ale się rozmyśliłem

Nie pomyliłbyś się pisząc 99,99%. :P

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Europejska Agencja Leków (EMA) poinformowała, że podczas grudniowego cyberataku przestępcy uzyskali dostęp do informacji nt. leków i szczepionek przeciwko COVID-19. Teraz dane dotyczące szczepionki Pfizera zostały przez nich udostępnione w internecie
      W trakcie prowadzonego śledztwa ws. ataku na EMA stwierdzono, że napastnicy nielegalnie zyskali dostęp do należących do stron trzecich dokumentów związanych z lekami i szczepionkami przeciwko COVID-19. Informacje te wyciekły do internetu. Organy ścigania podjęły odpowiednie działania, oświadczyli przedstawiciele EMA.
      To nie pierwszy raz, gdy cyberprzestępcy biorą na cel firmy i organizacje związane z rozwojem i dystrybucją szczepionek przeciwko COVID-19. Już w maju ubiegłego roku brytyjskie Narodowe Centrum Cyberbezpieczeństwa poinformowało, że brytyjskie uniwersytety i instytucje naukowe znalazły się na celowniku cyberprzestępców, a celem ataków jest zdobycie informacji dotyczących badań nad koronawirusem. Wspomniane grupy przestępce były prawdopodobnie powiązane z rządami Rosji, Iranu i Chin. Z kolei w listopadzie Microsoft poinformował, że powiązana z Moskwą grupa Fancy Bear oraz północnokoreańskie grupy Lazarus i Cerium zaatakowały siedem firm farmaceutycznych pracujących nad szczepionkami.
      Atak na EMA nie zakłócił działania samej Agencji, nie wpłynął też na dystrybucję szczepionek.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Osoby, które chciałyby wygrać wakacyjną wyprawę na Polską Stację Polarną Hornsund na Spitsbergenie mają jeszcze kilka dni na zgłoszenie się do konkursu „Misja Polarna”. Organizatorzy czekają na pomysły na projekt naukowy lub innowacyjny dotyczący obszarów polarnych.
      Nabór zgłoszeń do konkursu „Misja Polarna” trwa do 14 stycznia 2021 r. Uczestnicy konkursu przesyłają streszczenie (1500 znaków) swojego naukowego lub innowacyjnego pomysłu dotyczącego obszarów polarnych.
      W kolejnym etapie konkursu pomysł będzie rozwijany - uczestnicy przygotowują projekt w postaci eseju, filmu lub plakatu. Autorzy 12 najlepszych prac zaproszeni zostaną na rozmowę online, podczas której jurorzy ocenią sposób prezentacji i wiedzę na temat prezentowanego zagadnienia i wybiorą 6 zwycięzców, którzy latem pojadą z badaczami na wyprawę.
      Projekt badawczy może dotyczyć dowolnych badań środowiska biotycznego lub abiotycznego związanych z regionami polarnymi. Zaś projekt innowacyjny może dotyczyć dowolnych aspektów technicznych, zdrowotnych, psychologicznych i innych, związanych z prowadzeniem badań polarnych. Zaproponowane projekty badawcze czy innowacje nie muszą być poparte zrealizowanymi eksperymentami czy prototypami, ani też nie muszą być możliwe do przeprowadzenia w trakcie pobytu w Polskiej Stacji Polarnej Hornsund, jednak powinny być wykonalne według obecnego stanu wiedzy.
      Konkurs rozpatrywany będzie w dwóch kategoriach: młodzież (osoby między 15. a 19. rokiem życia), a także dorośli (osoby po 18. roku życia, które nie mają stopni ani tytułów naukowych ani nie są doktorantami).
      Z kolei młodsi przyszli naukowcy (10-14 lat) mają czas do 31 marca 2021 r. na przesłanie posteru naukowego. Zadaniem konkursowym jest wykonanie posteru naukowego na wybrany temat związany z badaniami polarnymi. Nagrodą będzie letni obóz naukowy – 3-dniowy wyjazd do obserwatoriów geofizycznych w Belsku i Świdrze. Uczestnicy zwiedzą wystawę polarną, wezmą udział w zajęciach w terenie, warsztatach, będą wykonywać eksperymenty laboratoryjne. Przewidziano również nagrody (łącznie 5) dla dalszych miejsc - pomoce naukowe, książki, drobny sprzęt.
      Konkurs organizowany jest w ramach projektu EDU-ARCTIC.PL finansowanego ze środków resortu nauki w ramach programu DIALOG. Szczegóły na stronie konkursu.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      US Army ogłosiła termin rozpoczęcia trzeciej edycji „Hack the Army”. Hakerskie zawody, w czasie których można będzie atakować sieć należącą do armii i zarobić na tym pieniądze, rozpocznie się 14 grudnia i potrwa do 28 stycznia lub do czasu, aż wszystkie przeznaczone na nagrody pieniądze zostaną rozdysponowane. Na razie nie wiadomo, ile pieniędzy przeznaczono na tegoroczną edycję zawodów. W roku 2019 rozdysponowano 275 000 USD.
      W bieżącym roku atakować można będzie cele w całej domenie army.mil, ale US Army zastrzega, że nagrody wypłaci tylko za znalezienie określonych kategorii błędów. Hakerzy będą mogli też atakować usługi uwierzytelniania oraz wirtualne sieci prywatne (VPN) należące do wojska.
      Projekt „Hack the Army” prowadzony jest przez US Army, Defense Digital Services, Army Cyber Command oraz firmę HackerOne. To jeden z wielu podobnych projektów prowadzonych przez amerykańskie siły zbrojne, w ramach których hakerzy mogą zdobywać pieniądze atakując wojskowe sieci i oprogramowanie. Pentagon stara się rozszerzać zakres takich programów, by w ten sposób wyłapywać luki w zabezpieczeniach. Na razie najdalej poszły US Air Force, które wprost ogłosiły, że chcą prowadzić tak dużo podobnych projektów, by hakerzy mogli utrzymywać się wyłącznie z nagród zdobywanych w takich zawodach. Będą mogli w ich ramach atakować nawet satelity.
      Firma HackerOne stworzyła platformę do współpracy z hakerami, która uzyskała odpowiednie certyfikaty bezpieczeństwa. Dzięki temu firma może organizować zawody takie, jak opisywane powyżej.
      Wszyscy uczestnicy „Hack the Army” zostaną najpierw sprawdzeni, a po pozytywnym przejściu weryfikacji otrzymają oficjalną zgodę na atakowanie army.mil i innych elementów sieci wojskowej. Będą przy tym musieli używać VPN, która będzie zapisywała i śledziła ich działania.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      FBI wydało oficjalne ostrzeżenie przed atakami, jakie na prywatne i rządowe cele w USA przeprowadza elita irańskich hakerów powiązanych z rządem w Teheranie. W ostrzeżeniu nie pada nazwa grupy, jednak dziennikarze nieoficjalnie dowiedzieli się, że chodzi o grupę zwaną Fox Kitten lub Parasite, która jest od dłuższego czasu obserwowana przez międzynarodową społeczność zajmującą się cyberbezpieczeństwem.
      Grupa ta to elitarny zespół, którego zadaniem jest przygotowanie pola pod działania innych irańskich organizacji hakerskich. Fox Kitten przygotowują „przyczółki”, z których mogą działać takie grupy jak APT33 (Shamoon), Oilrig (APT34) czy Cnafer.
      Fox Kitten atakują najbardziej zaawansowany sprzęt sieciowy, wykorzystując najnowsze odkryte w nim dziury. Do ataków dochodzi bardzo szybko po odkryciu luk. Hakerzy liczą na to, że właściciele urządzeń nie zdążyli ich jeszcze załatać. Jako, że mówimy o kosztownym sprzęcie, to oczywistym jest, że to sprzęt działający w sieciach rządowych oraz dużych prywatnych firm. Po udanym ataku na urządzeniu instalowane są tylne drzwi, przez które inni mogą kontynuować ataki.
      Wiadomo, że Fox Kitten stosują taką taktykę co najmniej od roku, kiedy to zaatakowali servery VPN firm Fortinet, Pulse Secure, Palo Alto Networks oraz Citrix. FBI ostrzega przed powtórzeniem tych ataków oraz przed możliwymi atakami na BIG-IP firmy F5 Networks, w którym odkryto luki.
      Już teraz wiadomo, że w ubiegłym tygodniu agenci FBI zostali wezwani do dwóch amerykańskich firm, w których doszło do udanych ataków przeprowadzonych przez Fox Kitten.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...