Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Coraz więcej hakerów-milionerów

Recommended Posts

Platforma HackerOne poinformowała, że liczba etycznych hakerów, którzy zostali milionerami dzięki znalezionym przez siebie i zgłoszonym błędom, wzrosła do sześciu osób.

HackerOne to jedna z pierwszych i największa obecnie firma, która postanowiła połączyć model współpracy społecznościowej pomiędzy badaczami, hakerami i firmami zainteresowanymi bezpieczeństwem z programem wypłacania nagród pieniężnych za zgłoszone dziury. Obecnie z HackerOne współpracuje około 200 000 badaczy ds. bezpieczeństwa, którzy odkryli dotychczach 72 000 dziur w ponad 1000 programach.

HackerOne jest finansowana przez firmy i fundusze inwestycyjne oraz prywatnych inwestorów. To właśnie z tej platformy korzystał w 2016 roku amerykański Departament Obrony, który ogłosił za jej pośrednictwem konkurs „Hack the Pentagon”. Jego uczestnicy znaleźli i załatali 138 dziur w witrynach Departamentu Obrony i otrzymali w sumie 70 000 dolarów nagrody. Sukces tej inicjatywy spowodował, że w kolejnych latach pojawiły się takie programy jak „Hack the Army” oraz „Hack the Air Force”.

W marcu bieżącego roku 19-letni Argentyńczyk Santiago Lopez został pierwszym etycznym hakerem, który na swojej działalności zarobił ponad 1 milion dolarów. Teraz HackOne informuje, że w ciągu kolejnych pięciu miesięcy barierę miliona dolarów na koncie przekroczyli kolejni hakerzy. Milionerami zostali Mark Litchfield z Wielkiej Brytanii, Frans Rosen ze Szwecji, Nathaniel Wakelam z Australii, ron Chan z Hongkongu oraz Tommy DeVoss z USA.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Dysonans poznawczy, czy fakty bolą? W końcu więcej. :D

Share this post


Link to post
Share on other sites
Posted (edited)

H1 top popularna platforma bug-bounty, ale brokerzy podatności, tacy jak Zerodium, płacą znacznie więcej, więc i milionerów pośród hakerów jest więcej. Nie wspominając o pospolitych przestępcach z darknetu ;-)

Cennik Zerodium:
https://zerodium.com/program.html

Przykładowo zestaw podatności, który nie wymaga akcji użytkownika (tzw. zero-click), a który doprowadzi do wykonania kodu na iOS z możliwością instalacji malware z przetrwaniem reboota, kosztuje do 2 mln USD. Ostatnio cenny na exploity na Androida podrożały, górne widełki to już 2.5 mln USD ;-)

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites
13 minut temu, cyjanobakteria napisał:

Ostatnio cenny na exploity na Androida podrożały, górne widełki to już 2.5 mln USD ;-)

Linux się ceni? Nie dziwię się. ;)

Share this post


Link to post
Share on other sites
Posted (edited)
23 minutes ago, Astro said:

Linux się ceni? Nie dziwię się. ;)

Od czasu kiedy obserwuję, a robię to sporadycznie od kilku lat, to zawsze Windows i iOS przodowały w cenach. To jest wolny rynek. Podejrzewam, że na ceny exploitów wpływa trudności, czyli bezpieczeństwo danej platformy, ale i popularność czy bieżące/prognozowane zapotrzebowanie klientów.

Co do Androida, to się podciągnął w bezpieczeństwie. Google dba o bezpieczeństwo, ale problemem była zawsze fragmentacja urządzeń, dystrybucja poprawek i krótkie wsparcie urządzeń przez operatorów.

Sam korzystam z Linuksa od długiego czasu i preferuję ten system, ale muszę przyznać, że Windows ma teraz dość porządne bezpieczeństwo. Platforma jest pod obstrzałem od zawsze ze względu na popularność i MS musiał zainwestować w bezpieczeństwo. Ale dużo zależy też od użytkownika i podejrzewam, że typowy Linuksiarz jest częściej pasjonatem i jest bardziej ogarnięty niż typowy użytkownik Windowsa.

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites
7 minut temu, cyjanobakteria napisał:

podejrzewam, że typowy Linuksiarz jest częściej pasjonatem

Jako typowy linuksiarz od początku (rok 1993) i wcześniej unixarz (niechcący :P) jestem typowym nie tyle pasjonatem, co zwolennikiem NORMALNOŚCI. Polecam wszystkim. :D

Share this post


Link to post
Share on other sites
12 minutes ago, Astro said:

Jako typowy linuksiarz od początku (rok 1993) i wcześniej unixarz (niechcący :P) jestem typowym nie tyle pasjonatem, co zwolennikiem NORMALNOŚCI. Polecam wszystkim. :D

Ja od 2004 ;-) Miałem chyba ze 2 nieudane podejścia do Linuksa w 2002-2003 jako małolat. Było ciężko zainstalować aplikacje bez internetu, bo wszystko potrzebowało dociągnąć paczki. Do tego lubiłem pograć na komputerze i na początku miałem dwa systemy, ale korzystałem głównie z Linuksa od pierwszego roku studiów. To były fajne czasy, chociaż wsparcie sprzętu, głównie sterowników WiFi, kart graficznych i hibernacji, kulało ze względu na słabe wsparcie producentów. Ominął mnie UNIX, ale załapałem się na studiach na Solarisa.

Winda to teraz rozsądny system i nawet ciężko nienawidzić MS ;-) Wspierają open-source, portują aplikacje pod Windę (np. bash), działają w The Linux Fundation zdaje się. Większość maszyn w Azure chodzi na Linuksie, dlatego też wspierają projekt. Udostępniają narzędzia dla deweloperów, a ich przeglądarka nie już osią zła w wojnach przeglądarek.

W zastosowaniach naukowych to podejrzewam, że Linuks ma 99% ;-)

Share this post


Link to post
Share on other sites
3 minuty temu, cyjanobakteria napisał:

chociaż wsparcie sprzętu, głównie sterowników WiFi, kart graficznych i hibernacji,

Nie wiem czy zauważyłeś, ale mamy rok 2019... Jest zdecydowanie lepiej. :)

4 minuty temu, cyjanobakteria napisał:

Ominął mnie UNIX

Żałuj. Ominięcia Vaxa już nie wspomnę - jesteś do tyłu. :D

5 minut temu, cyjanobakteria napisał:

Winda to teraz rozsądny system i nawet ciężko nienawidzić MS ;-)

Mylisz się i to zdecydowanie. :P

6 minut temu, cyjanobakteria napisał:

W zastosowaniach naukowych to podejrzewam, że Linuks ma 99% ;-)

Tu też się mylisz. 99,9% to najmniej lekko licząc. :D

Share this post


Link to post
Share on other sites
7 minutes ago, Astro said:

Nie wiem czy zauważyłeś, ale mamy rok 2019... Jest zdecydowanie lepiej. :)

Chodziło mi o czasy 2000-2010. Porządne sterowniki do czipsetów od Broadcom i NVidia po prostu nie istniały. Karty graficzne po hibernacji nie wstawały, WiFi się wysypywało. To już na szczęście historia. Teraz ten sprzęt ma lepsze wsparcie na Linuksie, ze względu na różnorodność platform ;-) Chociażby GPU do liczenia AI.

9 minutes ago, Astro said:

Tu też się mylisz. 99,9% to najmniej lekko licząc. :D

Napisałem na początku 99,9%, ale się rozmyśliłem i zaokrągliłem, haha ;-)

Share this post


Link to post
Share on other sites
2 minuty temu, cyjanobakteria napisał:

Porządne sterowniki do czipsetów od Broadcom i NVidia po prostu nie istniały

Ale mówimy o tym roku? 2019? Swoją drogą nie cierpię nVidii. Nie stosuję i jestem zadowolony. :P

3 minuty temu, cyjanobakteria napisał:

To już na szczęście historia

No właśnie. :)

4 minuty temu, cyjanobakteria napisał:

Napisałem na początku 99,9%, ale się rozmyśliłem

Nie pomyliłbyś się pisząc 99,99%. :P

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      NASA otrzymała... dwie nagrody Emmy, przyznawane za produkcję telewizyjną. Podczas ceremonii, które odbyły się w Microsoft Theatre w Los Angeles amerykańska Akademia Telewizyjna przyznała Agencji nagrody za relacje z pierwszego testu załogowego pojazdu, który zawiezie astronautów na Międzynarodową Stację Kosmiczną oraz relacje z misji marsjańskiej.
      Najpierw 14 września zespół z NASA i SpaceX otrzymał główną nagrodę w kategorii Outstanding Interactive Program za multimedialną relację z Demonstration Mission 1. To testowy lot kapsuły załogowej Crew Dragon firmy SpaceX na Międzynarodową Stację Kosmiczną. To jednocześnie pierwszy od 2011 roku start z terytorium USA pojazdu, który jest gotowy do misji załogowych.
      Demonstration Mission 1 to część prowadzonego przez NASA Commercial Crew Program, w ramach którego NASA pomaga prywatnym firmom rozwijać technologie wynoszenia astronautów na MSK, by w przyszłości zlecać eksplorację bliskich okolic Ziemi firmom prywatnym, a samemu móc się skupić na badaniu głębszych obszarów kosmosu.
      Kolejnego wieczora, 15 września, należące do NASA Jet Propulsion Laboratory (JPL) otrzymało główną nagrodę w kategorii Outstanding Original Interactive Program za relację z marsjańskiej misji InSight (Interior Exploration using Seismic Investigations, Geodesy and Heat Transport). Szeroko zakrojone działania informacyjno-edukacyjne prowadzono na stronach WWW, serwisach społecznościowych i w telewizji. InSight to pierwsza misja, której celem jest badanie głęboko położonych obszarów we wnętrzu Marsa.
       

       


      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.
      Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.
      Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
      Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Marcus Hutchins, brytyjski ekspert, który pomógł powstrzymać robaka WannaCry, a któremu w USA postawiono zarzuty zagrożone karą do 10 lat więzienia, może wrócić do domu. Mężczyzna od 2 lat przymusowo przebywał w USA oczekując na wyrok.
      Hutchins zdobyl rozgłos w maju 2017 roku, kiedy to odkrył i włączył kill switch robaka WannaCry powstrzymując w ten sposób światową epidemię. W sierpniu 2017 roku informowaliśmy, że brytyjski wywiad GCHQ wiedział, iż Hutchins jest poszukiwany przez FBI w związku ze współudziałem w stworzeniu trojana bankowego Kronos. Wywiad nie ostrzegł swojego obywatela, a ten pojechał do USA, gdzie został zatrzymany. W Stanach Zjednoczonych postawiono mu zarzuty i zwolniono za kaucją. Hutchins musiał poczekać w USA na zakończenie swojego procesu. Właśnie zapadł wyrok w jego sprawie.
      Sędzia Joseph Stadtmueller z federalnego sądu okręgowego w stanie Wisconsin skazał Hutchinsa na 1 rok więzienia w zawieszeniu i zaliczył mu w poczet wyroku czas, jaki mężczyzna spędził przymusowo w USA. Ponadto każdej ofierze Kronosa Hutchins ma zapłacić 100 USD tytułem odszkodowania.
      Uzasadniając swój wyrok, sędzia Stadhmueller mówił: możemy obserwować różne odcienie ludzkiej egzystencji. Młodych i starych przestępców, zawodowych kryminalistów, tych, którzy po prostu zbłądzili. Rozumiem, że można przeciwstawiać niegodziwe zachowanie z przeszłości pracy bohatera. To właśnie czyni tę sprawę wyjątkową.
      Sędzia zauważył, że Hutchins, który jako nastolatek pomógł stworzyć bankowego trojana, został z czasem ekspertem zwalczającym szkodliwy kod i stało się na długo przed tym, zanim został zatrzymany. Wykorzystuje on teraz swoją wiedzę do powstrzymywania szkodliwego kodu. Sędzia podkreślił, że społeczeństwo potrzebuje takich ludzi jak Hutchins. Należy przyznać oskarżonemu, że sam, bez jakiejkolwiek zachęty zdecydował się na zmianę swojego postępowania. Musimy wziąć pod uwagę, że człowiek w młodym wieku, który być może jeszcze do tego nie dojrzał, podjął jednak dobrą decyzję, stwierdził sędzia.
      Stadtmueller dodał, że Hutchins nie musi już przebywać na terenie USA, może więc opuścić Stany Zjednoczone i odbyć resztę kary za granicą. Ostrzegł jednocześnie, że jeśli wyjedzie, to fakt, iż właśnie został skazany może spowodować, że nigdy więcej na teren USA nie zostanie wpuszczony. Sędzia zasugerował nawet – co obrońcy oskarżonego nazwali „bezprecedensowym” komentarzem – by Hutchins postarał się o unieważnienie wyroku lub o jakiś rodzaj zgody na powrót do USA.
      Hutchins zdobył rozgłos, gdy odkrył, że WannaCry próbuje łączyć się z konkretną domeną. Zarejestrował ją i aktywował kill switch, który prawodpodobnie zapobiegł światowej epidemii. Do tego jednak czasu robak zdążył uszkodzić komputery w ponad 70 krajach, w tym znaczną część brytyjskiej National Health Service. Niedługo później Hutchins został zaproszony na konferencję DEF CON w Los Angeles. Gdy po tygodniu chciał wrócić do domu, został zatrzymany na lotnisku przez FBI. Mężczyzna nie wiedział, że USA prowadzone jest śledztwo w sprawie roli, jaką odegrał podczas tworzenia robaka Kronos oraz zestawu hakerskiego UPAS Kit. FBI zdobyło dowody wskazujące, że jako nastolatek Hutchins stworzył część szkodliwego kodu i sprzedawał go przestępcom.
      Hutchins początkowo odrzucał oskarżenia, jednak w końcu się przyznal. Dobrowolne przyznanie się do winy oraz fakt, że porzucił przestępczy fach i zwalczał cyberrzagrożenia odegrały olbrzymią rolę w wyroku wydanym przez sędziego Stadtmuellera. Po wyroku mężczyzna podziękował sędziemu za wyrozumiałość i wyraził nadzieję, że uda mu się znaleźć sposób na to, by mógł wracać do USA.
      Podziękowania sędziemu się należały, gdyż zależało mu na tym, by Hutchins nie miał już więcej kłopotów. Wiedząc, że służby celne bardzo podejrzliwie traktują osoby, które mają kryminalną przeszłość, Stadtmueller celowo podkreślił, że nic w tym wyroku nie zobowiązuje oskarżonego do pozostania w USA. Postaram się, by nie został zatrzymany przez służby graniczne.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Rosyjska Federalna Służba Bezpieczeństwa (FSB) przyznała, że hakerzy uzyskali dostęp do jej specjalnych projektów internetowych. Cyberprzestępcy włamali się do sieci współpracującej z FSB moskiewskiej firmy SyTech i ukradli 7,5 terabajta danych.
      Jak informują media, hakerzy działający pod pseudonimem 0v1ru$ zastąpili stronę główną SyTechu memem Yoba Face. W rosyjskim internecie mem ten symbolizuje brak szacunku dla FSB. 0v1ru$ przekazali ukradzione dane znanej w Rosji grupie hakerskiej Digital Revolution. Do włamania miało dojść 13 lipca.
      Hakerzy ujawnili liczne projekty prowadzone przez SyTech wraz z nazwiskami menedżerów je nadzorujących. Na przykład projekty „Nautilus” i „Nautilus-S” "wydają się być próbą wykorzystania mediów społecznościowych do pozyskania danych oraz zidentyfikowaniu Rosjan łączących się z internetem za pośrednictwem Tor". Inny interesujący projekt to „Mentor”, którego celem uzyskanie informacji z rosyjskich firm. Z kolei w ramach projektów „Hope” i „Tax-3” powstają narzędzia pozwalające służbom specjalnym na odłączanie rosyjskiego internetu od światowej sieci.
      Jak twierdzą dziennikarze BBC Russia, firma SyTech współpracuje z 16. Dyrektoriatem FSB, Jednostką Wojskową 71330. Jesli to prawda, ma ona związki z grupą, która przeprowadziła w 2015 roku cyberatak na ukraiński wywiad.
      Niedawno prezydent Putin zaakceptował plan, którego celem jest upewnienie się, że rosyjski internet będzie w stanie działać oddzielnie od reszty ogólnoświatowej sieci. Plan zakłada, że Rosja będzie posiadała alternatywny system DNS. Zdaniem Forbesa może on zostać wprowadzony w życie, gdy Kreml uzna, że odłączenie Rosji od reszty świata jest korzystne. W takich sytuacji rosyjscy dostawcy internetu zostaliby przełączeni na wewnętrzny rosyjski DNS.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Niemal 50 brytyjskich uczelni wyższych wzięło udział w testach penetracyjnych zleconych przez The Higher Education Policy Insituter oraz organizację Jisc. Okazało się, że w niektórych przypadkach hakerzy są w stanie w czasie krótszym niż godzina uzyskać dostęp do sieci uniwersytetów i zdobyć wrażliwe informacje. Z kolei każdy z przeprowadzonych testów penetracyjnych pozwolił na odniesienie sukcesu w czasie krótszym niż 2 godziny.
      W tym czasie napastnicy uzyskali do sieci dostęp na prawach administratora. Mogli zatem poznać informacje na temat studentów i kadry, przeczytać dane finansowe uczelni oraz włamać się do baz danych zawierających poufne informacje z prowadzonych właśnie badań naukowych.
      Najpopularniejsza techniką dającą dostęp do sieci były celowane ataki phishingowe przeprowadzane za pomocą podrobionych e-maili wyglądających na wiadomości od przełożonego. W listach znajdowały się odnośniki do szkodliwych witryn, które kradły dane ofiary oraz załączniki, które infekowały uniwersytecką sieć. Przeprowadzenie takich ataków w przypadku uczelni wyższych jest o tyle ułatwione, że nazwiska oraz adresy e-mail pracowników i ich przełożonych są publicznie dostępne.
      Większość uczelni wyższych bardzo poważnie traktuje tego typu zagrożenia, jednak nie jesteśmy przekonani, że wszystkie one mają odpowiednią wiedzę, umiejętności i sprzęt, by się przed nimi chronić, mówi doktor John Chapman z Jisc. Jednak wielu atakom można zapobiegać na bieżąco aktualizując oprogramowanie, instalując łaty oraz ściśle przydzielając dostęp do danych konkretnym osobom. Ważne jest też zapoznanie pracowników i studentów z zasadami bezpieczeństwa, by wiedzieli, jak rozpoznać podejrzane e-maile oraz kogo poinformować o zauważeniu ataku. Jisc zaleca też, by uniwersytety regularnie sprawdzały swoje sieci pod kątem niedociągnięć i miały opracowany plan działań na wypadek ataku.

      « powrót do artykułu
×
×
  • Create New...