Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Coraz więcej hakerów-milionerów

Recommended Posts

Platforma HackerOne poinformowała, że liczba etycznych hakerów, którzy zostali milionerami dzięki znalezionym przez siebie i zgłoszonym błędom, wzrosła do sześciu osób.

HackerOne to jedna z pierwszych i największa obecnie firma, która postanowiła połączyć model współpracy społecznościowej pomiędzy badaczami, hakerami i firmami zainteresowanymi bezpieczeństwem z programem wypłacania nagród pieniężnych za zgłoszone dziury. Obecnie z HackerOne współpracuje około 200 000 badaczy ds. bezpieczeństwa, którzy odkryli dotychczach 72 000 dziur w ponad 1000 programach.

HackerOne jest finansowana przez firmy i fundusze inwestycyjne oraz prywatnych inwestorów. To właśnie z tej platformy korzystał w 2016 roku amerykański Departament Obrony, który ogłosił za jej pośrednictwem konkurs „Hack the Pentagon”. Jego uczestnicy znaleźli i załatali 138 dziur w witrynach Departamentu Obrony i otrzymali w sumie 70 000 dolarów nagrody. Sukces tej inicjatywy spowodował, że w kolejnych latach pojawiły się takie programy jak „Hack the Army” oraz „Hack the Air Force”.

W marcu bieżącego roku 19-letni Argentyńczyk Santiago Lopez został pierwszym etycznym hakerem, który na swojej działalności zarobił ponad 1 milion dolarów. Teraz HackOne informuje, że w ciągu kolejnych pięciu miesięcy barierę miliona dolarów na koncie przekroczyli kolejni hakerzy. Milionerami zostali Mark Litchfield z Wielkiej Brytanii, Frans Rosen ze Szwecji, Nathaniel Wakelam z Australii, ron Chan z Hongkongu oraz Tommy DeVoss z USA.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Dysonans poznawczy, czy fakty bolą? W końcu więcej. :D

Share this post


Link to post
Share on other sites
Posted (edited)

H1 top popularna platforma bug-bounty, ale brokerzy podatności, tacy jak Zerodium, płacą znacznie więcej, więc i milionerów pośród hakerów jest więcej. Nie wspominając o pospolitych przestępcach z darknetu ;-)

Cennik Zerodium:
https://zerodium.com/program.html

Przykładowo zestaw podatności, który nie wymaga akcji użytkownika (tzw. zero-click), a który doprowadzi do wykonania kodu na iOS z możliwością instalacji malware z przetrwaniem reboota, kosztuje do 2 mln USD. Ostatnio cenny na exploity na Androida podrożały, górne widełki to już 2.5 mln USD ;-)

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites
13 minut temu, cyjanobakteria napisał:

Ostatnio cenny na exploity na Androida podrożały, górne widełki to już 2.5 mln USD ;-)

Linux się ceni? Nie dziwię się. ;)

Share this post


Link to post
Share on other sites
Posted (edited)
23 minutes ago, Astro said:

Linux się ceni? Nie dziwię się. ;)

Od czasu kiedy obserwuję, a robię to sporadycznie od kilku lat, to zawsze Windows i iOS przodowały w cenach. To jest wolny rynek. Podejrzewam, że na ceny exploitów wpływa trudności, czyli bezpieczeństwo danej platformy, ale i popularność czy bieżące/prognozowane zapotrzebowanie klientów.

Co do Androida, to się podciągnął w bezpieczeństwie. Google dba o bezpieczeństwo, ale problemem była zawsze fragmentacja urządzeń, dystrybucja poprawek i krótkie wsparcie urządzeń przez operatorów.

Sam korzystam z Linuksa od długiego czasu i preferuję ten system, ale muszę przyznać, że Windows ma teraz dość porządne bezpieczeństwo. Platforma jest pod obstrzałem od zawsze ze względu na popularność i MS musiał zainwestować w bezpieczeństwo. Ale dużo zależy też od użytkownika i podejrzewam, że typowy Linuksiarz jest częściej pasjonatem i jest bardziej ogarnięty niż typowy użytkownik Windowsa.

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites
7 minut temu, cyjanobakteria napisał:

podejrzewam, że typowy Linuksiarz jest częściej pasjonatem

Jako typowy linuksiarz od początku (rok 1993) i wcześniej unixarz (niechcący :P) jestem typowym nie tyle pasjonatem, co zwolennikiem NORMALNOŚCI. Polecam wszystkim. :D

Share this post


Link to post
Share on other sites
12 minutes ago, Astro said:

Jako typowy linuksiarz od początku (rok 1993) i wcześniej unixarz (niechcący :P) jestem typowym nie tyle pasjonatem, co zwolennikiem NORMALNOŚCI. Polecam wszystkim. :D

Ja od 2004 ;-) Miałem chyba ze 2 nieudane podejścia do Linuksa w 2002-2003 jako małolat. Było ciężko zainstalować aplikacje bez internetu, bo wszystko potrzebowało dociągnąć paczki. Do tego lubiłem pograć na komputerze i na początku miałem dwa systemy, ale korzystałem głównie z Linuksa od pierwszego roku studiów. To były fajne czasy, chociaż wsparcie sprzętu, głównie sterowników WiFi, kart graficznych i hibernacji, kulało ze względu na słabe wsparcie producentów. Ominął mnie UNIX, ale załapałem się na studiach na Solarisa.

Winda to teraz rozsądny system i nawet ciężko nienawidzić MS ;-) Wspierają open-source, portują aplikacje pod Windę (np. bash), działają w The Linux Fundation zdaje się. Większość maszyn w Azure chodzi na Linuksie, dlatego też wspierają projekt. Udostępniają narzędzia dla deweloperów, a ich przeglądarka nie już osią zła w wojnach przeglądarek.

W zastosowaniach naukowych to podejrzewam, że Linuks ma 99% ;-)

Share this post


Link to post
Share on other sites
3 minuty temu, cyjanobakteria napisał:

chociaż wsparcie sprzętu, głównie sterowników WiFi, kart graficznych i hibernacji,

Nie wiem czy zauważyłeś, ale mamy rok 2019... Jest zdecydowanie lepiej. :)

4 minuty temu, cyjanobakteria napisał:

Ominął mnie UNIX

Żałuj. Ominięcia Vaxa już nie wspomnę - jesteś do tyłu. :D

5 minut temu, cyjanobakteria napisał:

Winda to teraz rozsądny system i nawet ciężko nienawidzić MS ;-)

Mylisz się i to zdecydowanie. :P

6 minut temu, cyjanobakteria napisał:

W zastosowaniach naukowych to podejrzewam, że Linuks ma 99% ;-)

Tu też się mylisz. 99,9% to najmniej lekko licząc. :D

Share this post


Link to post
Share on other sites
7 minutes ago, Astro said:

Nie wiem czy zauważyłeś, ale mamy rok 2019... Jest zdecydowanie lepiej. :)

Chodziło mi o czasy 2000-2010. Porządne sterowniki do czipsetów od Broadcom i NVidia po prostu nie istniały. Karty graficzne po hibernacji nie wstawały, WiFi się wysypywało. To już na szczęście historia. Teraz ten sprzęt ma lepsze wsparcie na Linuksie, ze względu na różnorodność platform ;-) Chociażby GPU do liczenia AI.

9 minutes ago, Astro said:

Tu też się mylisz. 99,9% to najmniej lekko licząc. :D

Napisałem na początku 99,9%, ale się rozmyśliłem i zaokrągliłem, haha ;-)

Share this post


Link to post
Share on other sites
2 minuty temu, cyjanobakteria napisał:

Porządne sterowniki do czipsetów od Broadcom i NVidia po prostu nie istniały

Ale mówimy o tym roku? 2019? Swoją drogą nie cierpię nVidii. Nie stosuję i jestem zadowolony. :P

3 minuty temu, cyjanobakteria napisał:

To już na szczęście historia

No właśnie. :)

4 minuty temu, cyjanobakteria napisał:

Napisałem na początku 99,9%, ale się rozmyśliłem

Nie pomyliłbyś się pisząc 99,99%. :P

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Posiadanie szczeniaka wiąże się nie tylko z przyjemnościami, ale i z pewnymi uciążliwościami. Młode psy często gryzą meble, są nieposłuszne, mogą być agresywne. Dlatego też wielu właścicieli bardzo szybko rozpoczyna ich tresurę. Autorzy najnowszych badań ostrzegają jednak, że nawet dość łagodne karanie psa – krzyk czy szarpanie smyczą – podczas takiego treningu może spowodować, że wyrośnie on na bardziej pesymistycznie nastawione zwierzę, niż gdy tresura oparta jest na nagrodach.
      Tresura oparta na karach może być skuteczna w krótkim terminie, jednak takie metody mają negatywne konsekwencje na przyszłość. Tak szkolone psy żyją w ciągłym stresie, mówi biolog ewolucyjny Marc Bekoff z University of Colorado w Boulder, który nie był zaangażowany w najnowsze badania.
      Już z wcześniejszych badań wiemy, że tresura oparta na karach i tresura oparta na nagrodach zdają egzamin, jednak tresura oparta o kary może nieść negatywne konsekwencje. Jednak badania takie były przeprowadzane na psach policyjnych i laboratoryjnych, a nie na domowych pupilach. Ponadto metodą karania było założenie obroży rażącej psa prądem. Obroże takie są zakazane w wielu krajach.
      Ana Catarina Vieira de Castro z Uniwersytetu w Porto postanowiła sprawdzić, jak na tresurę opartą o kary reagują psy domowe. W tym celu wzięła pod lupę 42 psy ze szkół tresury, w których stosowano nagrody oraz 50 psów, które przechodziły tresurę opartą o kary. W pierwszym przypadku psy zachęcano do odpowiedniego zachowania dając im przysmaki czy pozwalając się bawić, w drugim zaś przypadku zwierzęta karano krzykiem, szarpaniem smyczy, a uczenie np. siadania polegało na naciskaniu bioder.
      Badacze nagrywali zachowanie psów w czasie tresury i testowali ich ślinę przed i po sesji tresury pod kątem występowania w niej hormonu stresu, kortyzolu. Psy przechodzące tresurę polegającą na karaniu wykazywały więcej zachowań typowych dla stresu, takich jak oblizywanie pyska, ziewanie, odnotowano też u nich wyższy poziom kortyzolu po powrocie do domu. Psy, których trening polegał na nagrodach, nie wykazywały ani zmian zachowania, ani zmian poziomu kortyzolu.
      Uczeni postanowili sprawdzić, czy skutki tresury utrzymywały się dłużej. Sprawdzili więc, jak 79 z tych psów reagowało na nagrodę w postaci przysmaku. Najpierw nauczyli zwierzęta, by kojarzyły jedną stronę pokoju z przysmakiem. W tej części pokoju znajdowała się bowiem miska z nagrodą. W drugiej części miska była pusta.
      Po takim treningu umieszczali pustą miskę w różnych pozycjach pomiędzy obiema częściami i obserwowali, w jaki sposób psy do niej podchodziły. Psy nastawione optymistycznie szybko podbiegały do miski, wykazując przy tym radośc. Psi pesymiści podchodzili znacznie wolniej. Takie zachowanie wskazuje na występowanie u psów lęku separacyjnego i innych zaburzeń osobowości. Zaobserwowano, że im więcej treningu opartego na karze, tym silniejsze objawy takich zaburzeń.
      Autorzy badań podkreślają, że nie sprawdzali, która z metod treningowych przynosi lepsze wyniki. Jednak ich eksperyment wyraźnie pokazuje, że właściciele psów powinni unikać tresury awersyjnej, polegającej na karaniu zwierzęcia. Jeśli zdecydujemy się, by naszego psa tresował ktoś obcy, powinniśmy zatem najpierw wypytać go o stosowane metody i porozmawiać z osobami, których psy miały już do czynienia z tym treserem.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Powiązani z chińskim rządem hakerzy z grupy APT41 włamali się do sieci wielkich firm telekomunikacyjnych, by móc podsłuchiwać rozmowy prowadzone przez światowych liderów. Eksperci z firmy FireEye Mandiant twierdzą, że hakerzy zainfekowali sieci narzędziem o nazwie MessageTap.
      Złośliwy kod został po raz pierwszy zauważony na linuksowych serwerach telekomunikacyjnych obsługujących SMS-y. Jego zadaniem było wyszukiwanie i kradzież treści wysyłanych przez osoby, którymi interesują się chińskie służby. Jak informuje FireEye, na celownik wzięto konkretne numery telefonów i numery IMSI. Wiadomości je zawierające były przechowywane w pliku CSV.
      Kradzione były też SMS-y zawierające słowa kluczowe związane z geopolityką. Były to na przykład treści zawierające interesujące Chińczyków nazwiska polityków, nazwy organizacji wojskowych i wywiadowczych oraz ruchów politycznych, czytamy w komunikacie FireEyer.
      firma ostrzega, że chińscy hakerzy zintensyfikowali swoje działania od roku 2017, gdy przekonali się, że ich działania pozwalają na zdobycie wielu poufnych informacji. W roku 2019 sama grupa APT41 zaatakowała cztery telekomy, a inne grupy powiązane z Pekinem wzięły na cel kolejne przedsiębiorstwa telekomunikacyjne.
      Poza operatorami telekomunikacyjnymi celem APT41 były też inne organizacje, takie jak firmy turystyczne czy zakłady opieki zdrowotnej, które posiadają informacje na temat interesujących osób, stwierdzają specjaliści FireEye. Jednocześnie zapewniono, że sprzęt, do którego włamali się Chińczycy nie został wyprodukowany przez Huawei.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      NASA otrzymała... dwie nagrody Emmy, przyznawane za produkcję telewizyjną. Podczas ceremonii, które odbyły się w Microsoft Theatre w Los Angeles amerykańska Akademia Telewizyjna przyznała Agencji nagrody za relacje z pierwszego testu załogowego pojazdu, który zawiezie astronautów na Międzynarodową Stację Kosmiczną oraz relacje z misji marsjańskiej.
      Najpierw 14 września zespół z NASA i SpaceX otrzymał główną nagrodę w kategorii Outstanding Interactive Program za multimedialną relację z Demonstration Mission 1. To testowy lot kapsuły załogowej Crew Dragon firmy SpaceX na Międzynarodową Stację Kosmiczną. To jednocześnie pierwszy od 2011 roku start z terytorium USA pojazdu, który jest gotowy do misji załogowych.
      Demonstration Mission 1 to część prowadzonego przez NASA Commercial Crew Program, w ramach którego NASA pomaga prywatnym firmom rozwijać technologie wynoszenia astronautów na MSK, by w przyszłości zlecać eksplorację bliskich okolic Ziemi firmom prywatnym, a samemu móc się skupić na badaniu głębszych obszarów kosmosu.
      Kolejnego wieczora, 15 września, należące do NASA Jet Propulsion Laboratory (JPL) otrzymało główną nagrodę w kategorii Outstanding Original Interactive Program za relację z marsjańskiej misji InSight (Interior Exploration using Seismic Investigations, Geodesy and Heat Transport). Szeroko zakrojone działania informacyjno-edukacyjne prowadzono na stronach WWW, serwisach społecznościowych i w telewizji. InSight to pierwsza misja, której celem jest badanie głęboko położonych obszarów we wnętrzu Marsa.
       

       


      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.
      Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.
      Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
      Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Marcus Hutchins, brytyjski ekspert, który pomógł powstrzymać robaka WannaCry, a któremu w USA postawiono zarzuty zagrożone karą do 10 lat więzienia, może wrócić do domu. Mężczyzna od 2 lat przymusowo przebywał w USA oczekując na wyrok.
      Hutchins zdobyl rozgłos w maju 2017 roku, kiedy to odkrył i włączył kill switch robaka WannaCry powstrzymując w ten sposób światową epidemię. W sierpniu 2017 roku informowaliśmy, że brytyjski wywiad GCHQ wiedział, iż Hutchins jest poszukiwany przez FBI w związku ze współudziałem w stworzeniu trojana bankowego Kronos. Wywiad nie ostrzegł swojego obywatela, a ten pojechał do USA, gdzie został zatrzymany. W Stanach Zjednoczonych postawiono mu zarzuty i zwolniono za kaucją. Hutchins musiał poczekać w USA na zakończenie swojego procesu. Właśnie zapadł wyrok w jego sprawie.
      Sędzia Joseph Stadtmueller z federalnego sądu okręgowego w stanie Wisconsin skazał Hutchinsa na 1 rok więzienia w zawieszeniu i zaliczył mu w poczet wyroku czas, jaki mężczyzna spędził przymusowo w USA. Ponadto każdej ofierze Kronosa Hutchins ma zapłacić 100 USD tytułem odszkodowania.
      Uzasadniając swój wyrok, sędzia Stadhmueller mówił: możemy obserwować różne odcienie ludzkiej egzystencji. Młodych i starych przestępców, zawodowych kryminalistów, tych, którzy po prostu zbłądzili. Rozumiem, że można przeciwstawiać niegodziwe zachowanie z przeszłości pracy bohatera. To właśnie czyni tę sprawę wyjątkową.
      Sędzia zauważył, że Hutchins, który jako nastolatek pomógł stworzyć bankowego trojana, został z czasem ekspertem zwalczającym szkodliwy kod i stało się na długo przed tym, zanim został zatrzymany. Wykorzystuje on teraz swoją wiedzę do powstrzymywania szkodliwego kodu. Sędzia podkreślił, że społeczeństwo potrzebuje takich ludzi jak Hutchins. Należy przyznać oskarżonemu, że sam, bez jakiejkolwiek zachęty zdecydował się na zmianę swojego postępowania. Musimy wziąć pod uwagę, że człowiek w młodym wieku, który być może jeszcze do tego nie dojrzał, podjął jednak dobrą decyzję, stwierdził sędzia.
      Stadtmueller dodał, że Hutchins nie musi już przebywać na terenie USA, może więc opuścić Stany Zjednoczone i odbyć resztę kary za granicą. Ostrzegł jednocześnie, że jeśli wyjedzie, to fakt, iż właśnie został skazany może spowodować, że nigdy więcej na teren USA nie zostanie wpuszczony. Sędzia zasugerował nawet – co obrońcy oskarżonego nazwali „bezprecedensowym” komentarzem – by Hutchins postarał się o unieważnienie wyroku lub o jakiś rodzaj zgody na powrót do USA.
      Hutchins zdobył rozgłos, gdy odkrył, że WannaCry próbuje łączyć się z konkretną domeną. Zarejestrował ją i aktywował kill switch, który prawodpodobnie zapobiegł światowej epidemii. Do tego jednak czasu robak zdążył uszkodzić komputery w ponad 70 krajach, w tym znaczną część brytyjskiej National Health Service. Niedługo później Hutchins został zaproszony na konferencję DEF CON w Los Angeles. Gdy po tygodniu chciał wrócić do domu, został zatrzymany na lotnisku przez FBI. Mężczyzna nie wiedział, że USA prowadzone jest śledztwo w sprawie roli, jaką odegrał podczas tworzenia robaka Kronos oraz zestawu hakerskiego UPAS Kit. FBI zdobyło dowody wskazujące, że jako nastolatek Hutchins stworzył część szkodliwego kodu i sprzedawał go przestępcom.
      Hutchins początkowo odrzucał oskarżenia, jednak w końcu się przyznal. Dobrowolne przyznanie się do winy oraz fakt, że porzucił przestępczy fach i zwalczał cyberrzagrożenia odegrały olbrzymią rolę w wyroku wydanym przez sędziego Stadtmuellera. Po wyroku mężczyzna podziękował sędziemu za wyrozumiałość i wyraził nadzieję, że uda mu się znaleźć sposób na to, by mógł wracać do USA.
      Podziękowania sędziemu się należały, gdyż zależało mu na tym, by Hutchins nie miał już więcej kłopotów. Wiedząc, że służby celne bardzo podejrzliwie traktują osoby, które mają kryminalną przeszłość, Stadtmueller celowo podkreślił, że nic w tym wyroku nie zobowiązuje oskarżonego do pozostania w USA. Postaram się, by nie został zatrzymany przez służby graniczne.

      « powrót do artykułu
×
×
  • Create New...