از هر حرفه یا مهارتی می توان برای خیر و شر استفاده کرد. همین مورد در مورد هکرها ، و قبل از اینکه فکر کنید هکر شخص بدی است ، می خواهم به شما یادآوری کنم که بین هکر و هکر تفاوت وجود دارد همانطور که قبلاً قبلاً صحبت کردیم و اینکه هکر کسی است که برنامه ها ، وب سایت ها و غیره را سرقت می کند ، اما هکر در کشف شکاف در سیستم های رایانه ای حرفه ای است. در اصل ، این حرفه در امنیت سیستم ها در برابر هکرها استفاده می شود. به عنوان مثال ، اگر مالک یک شرکت هستید و می خواهید مطمئن شوید که سیستم شما از داده های شما در برابر هک شدن محافظت می کند ، با استفاده از یک هکر آسیب پذیری های سیستم را برای خود آشکار می کنید و سپس آنها را برطرف می کنید. و بسیاری از شرکت های بزرگ مانند گوگل و فیس بوک در صورت کشف نقص در سیستم های خود و اطلاع از آنها ، مبالغ زیادی را به هکرها ارائه می دهند.
حال که دانستیم که هکر فقط یک توسعه دهنده حرفه ای است که از مهارت خود به نفع دیگران استفاده می کند ، پس چگونه می توان از این دانش برای شر استفاده کرد؟ خوب ، بگذارید جنبه بد دیگری را که ممکن است برخی از هکرهای حرفه ای به دست آورند ، برای شما بگویم که ممکن است ده ها هزار دلار در ماه برای آنها درآمد کسب کند ، و بازده "فروش حفره های امنیتی به سازمان های اطلاعاتی" است.
این خبر ممکن است برای برخی تکان دهنده باشد ، اما این حقیقتی است که من آن را به طور مفصل ارائه کردم وب سایت فوربس معروف. اخیراً اخبار منتشر شده مبنی بر اینکه گوگل مبلغ 60 دلار به دو برنامه نویس پرداخت كرده است كه قادر به یافتن نقص های امنیتی جدی در مرورگر Google Chrome بودند ، و گوگل به طور مداوم به روزرسانی هایی را در مرورگر معروف خود انجام می دهد و لیستی از مبالغ پرداختی به افرادی كه توانسته اند را منتشر می كند برای پیدا کردن حفره های امنیتی در مرورگر. این مبالغ به عنوان پاداش برای آنها پرداخت می شود تا به آنها کمک کند این حفره ها را پیدا کنند و سپس آنها را ببندند ، اما مقادیر معمول برای دیدن 1000 تا 2000 دلار است ، اما مبالغ برای 60 نفر به 120 هزار دلار یا برای دو شکاف به XNUMX دلار می رسد ، این نشان دهنده جدی بودن این خلأها است و می توانید صفحه نسخه های Google Chrome را باز کرده و جوایز پرداخت شده برای توسعه دهندگان را مشاهده کنید از طریق این لینک.
دریافت پاداش برای یافتن یک آسیب پذیری ، مهم نیست که مهم باشد ، هر چقدر هم که مبلغ زیادی باشد ، اما در این مورد متوقف نمی شود. Chaouki Bekrar ، مالک یکی از شرکت هایی که در زمینه تحقیقات امنیتی فعالیت می کند ، اشاره می کند که شرکت او انجام می دهد به Google در مورد روشهای استفاده شده برای یافتن حفره های امنیتی ، حتی به مبلغ 60 هزار دلار اطلاع ندهید. وی افزود: "ما این اسرار را حتی با مبلغ یک میلیون دلار با گوگل به اشتراک نمی گذاریم و به آنها درمورد راه هایی برای کمک به آنها در بستن حفره های امنیتی. ما می خواهیم این موضوع را فقط برای مشتریان خود حفظ کنیم. "این بدان معنی است که آنها افراد دیگر را در مورد حفره های امنیتی و راه های جلوگیری از آنها آگاه می کنند ، اما آنها به خود Google نمی گویند. این بدان معنی است که این مشتریان نمی خواهند Google این خلا loها را ببندد ، در غیر این صورت اجازه می دهد آسیب پذیری به آنها برسد. آیا می دانید این عوامل چه کسانی هستند؟ "آنها نهادهای امنیتی دولتی هستند."
بر اساس این گزارش ، هکرها می توانند از طریق آسیب پذیری امنیتی که در سیستم عامل ، وب سایت شرکت یا حتی یک برنامه معروف کشف می کنند ، با اطلاع از وجود این آسیب پذیری به صاحب برنامه و به دست آوردن پاداش سنتی اما او می تواند 2000 برابر و شاید 3000 برابر این مبلغ را از پلیس ، سرویس های امنیتی یا حتی جاسوسان و دشمنان صاحب این پروژه در ازای مجبور ساختن آنها با این روزنه و پنهان نگه داشتن آن از صاحب برنامه در این دستور آن را نبندید. یکی از سازمان هایی که در این زمینه تخصص دارد ، به نام Vupen ، گفت که مشتریان آن سالانه 10 دلار برای اشتراک در یک سرویس دانش محرمانه آسیب پذیری پرداخت می کنند. به عبارت دیگر ، این شرکت به دنبال خلأهای موجود است و بسته هایی "مانند بسته های تلفنی" را ایجاد می کند و احزاب مختلف با مبالغ هنگفت در آنها مشارکت می کنند تا راه های مخفی را مخفیانه و بدون اعلام آنها بدست آورند و آنها از آنها درخواست نمی کنند شرکت ووپن شما به آنها می گویید که چگونه آسیب پذیری ها را دریافت کنند ، حتی افراد دیگری آنها را خریداری نکرده اند و تنها چیزی که می خواهند این است که آسیب پذیری را دریافت کنند و آن را منتشر نکنند. در مورد اینکه چه برنامه هایی نقص امنیتی پیدا می کنند و آنها را به مشتریان خود می فروشند ، آنها به عنوان مثال Microsoft Word ، Adobe Reader ، Google Android و بالاخره سیستم معروف Apple iOS را نام بردند و دومی گران ترین قیمت است زیرا شایع ترین و سخت ترین نفوذ است. در اینجا لیستی از قیمت گذاری آسیب پذیری ، مطابق با هر سیستم عامل و برنامه وجود دارد.
البته ، عوامل زیادی وجود دارد که قیمت را کنترل می کند ، از جمله گسترش سیستم عامل ، این بدان معنی است که گروه هدف برای آسیب پذیری یک گروه بزرگ و همچنین تازگی سیستم است ، بنابراین نفوذ یک سیستم مدرن هزینه دارد بیشتر زیرا آسیب پذیری ها هنوز جدید هستند و شرکت فروشنده آن تصور نمی کند که به این سرعت خراب شود ، و ما در لیست می بینیم که قیمت یک آسیب پذیری سیستم عامل Mac (که اکنون روی آن کار می کنم) 20-50 است هزار دلار در مقایسه با 60-120 برای سیستم عامل ویندوز ، که برای برخی غیر منطقی به نظر می رسد زیرا همه فکر می کنند که سیستم Mac از ایمن ترین سیستم است ، بنابراین آسیب پذیری های آن گرانترین است ، اما یک عامل دیگر وجود دارد که اگر شما می دانید برای یک آسیب پذیری قوی در ویندوز ، بیش از یک میلیارد دستگاه در سراسر جهان را هدف قرار داده اید و این تعداد دو برابر بیشتر از کاربران Mac است. اما علی رغم این مبالغ هنگفتی که در ازای آسیب پذیری دریافت می کنند ، Vupen این آسیب پذیری ها را به طور انحصاری به یک خریدار نمی فروشد بلکه آنها را به بیش از یک خریدار می فروشد و هیچ یک از آنها نمی دانند کسانی هستند که آسیب پذیری مشابه را خریداری کرده اند. مانند او و ممکن است آن را به بیش از یک سازمان دولتی بفروشد و بستگی به این دارد که هر خریدار به کسی نگوید که این روزنه را می داند.
تیم Vupen در کنفرانس محبوب هکر Pwn2Own
اما برخی از هکرها ترجیح می دهند خریداران آسیب پذیری های خود را شناسایی کنند و نهادها یا اتحادیه های بزرگی مانند ناتو و اعضای آن باشند و این آسیب پذیری ها را به هیچ کشوری خارج از ناتو نمی فروشند و آنها گفتند که آنها درخواست های خرید را دقیق بررسی می کنند و به دنبال جلوگیری از دستیابی اطلاعات و خلا loهای موجود در رسیدن به رژیم های غیر دموکراتیک هستند زیرا رژیم های دیکتاتوری از خلأ علیه مردم خود استفاده خواهند کرد ، در حالی که رژیم های دموکراتیک از آنها برای محافظت از مردم خود در برابر تروریست ها و دیگران استفاده خواهند کرد. اما به گفته آنها ، مسئله این است كه آنها تضمین نمی كنند كه روزنه در دست خریدار باقی بماند زیرا فقط اگر اسلحه ای را به شخصی بفروشید ، تضمین نمی كنید كه این شخص اسلحه را به شخص ثالث نفروشد. طرف یا اینکه این خریدار خوب و قابل اعتماد فقط یک واسطه است همانطور که گفته شد آنها یک آسیب پذیری امنیتی را به شخصی فروخته اند کشورهای عربی متعجب شدند که این مورد برای نظارت بر فعالان سیاسی توسط رژیم سوریه استفاده می شود. این گزارش می گوید که Vupen از کاربر نمی پرسد که با این آسیب پذیری چه خواهد کرد یا به عبارت دقیق تر ، وی اهمیتی ندارد که بداند زیرا همه آنچه برای او مهم است این است که فقط مبلغ توافق شده را در حساب خود بدست آورد ، اما آیا آسیب پذیری بهبود یافته یا سوused استفاده شده ، این برای او مهم نیست.
سوالی که پیش می آید این است که چگونه این روزنه ها به فروش می رسند؟ شما ممکن است در زمینه کامپیوتر حرفه ای باشید و یک آسیب پذیری را کشف کنید ، اما در بازاریابی و برآورد قیمت آن حرفه ای نیستید و حتی نمی توانید با سرویس های امنیتی مانند هوش و دیگران سر و کار داشته باشید تا آسیب پذیری ها را به آنها بفروشید. شما فقط یک برنامه نویس حرفه ای هستید و چیزی جز برنامه نویسی نمی دانید. در اینجا نقش واسطه ها ، از جمله Grugq ، که البته یک نام جنبشی است ، ظاهر می شود. او در پایتخت تایلند ، بانکوک زندگی می کند و به عنوان واسطه کار می کند. Of از این معاملات کمیسیون است. آیا فکر نمی کنید این درصد ناچیز باشد ، به گفته وی ، سال گذشته وی بیش از یک میلیون دلار از معاملات دریافت کرده است و این باعث می شود اندازه معاملات انجام شده را تصور کنید؟ و شهرت او در سراسر جهان گسترش یافته است ، که باعث می شود او اکنون در حفره های ساده کار نکند و اگر قیمت هدف از این منافذ حداقل 15 عدد نباشد ، معامله ای را قبول نمی کند و ذکر شد که دسامبر گذشته او یک روزنه ای برای یک سازمان دولتی با قیمت یک چهارم میلیون دلار. اگر فکر می کنید این کار محرمانه است و این شخص حقیقت خود را نمی داند ، این درست نیست ، زیرا او در انظار عمومی کار می کند و این تصویر او در رستورانی است که کار می کند.
هنگامی که از او پرسیده شد که سودآورترین منافذ برای وی و گرانترین کدام است ، پاسخ داد: "البته iOS ، حتی پس از گسترش اندروید ، اما نفوذ اندروید آسان است ، زیرا برای iOS نیاز به نقض موانع امنیتی اپل و سیستم پیچیده آن است ، بنابراین سخت ترین و گرانترین است. " فرار از زندان که فقط یک صفحه وب بود که اقدام به برداشت می کند ، بنابراین فرار از زندان برای وی اتفاق افتاد که سازمانهایی هستند که مایل به پرداخت بیش از یک چهارم میلیون دلار در ازای انحصاری شدن در آنها هستند زیرا به آنها امکان می دهد تا به راحتی از طریق هر دستگاهی نفوذ کنند مرورگر Safari. در مورد مهمترین مشتری خود ، او گفت که این دولت ایالات متحده است که ، مطابق بیانیه ، بزرگترین خریدار روزنه ها و پردرآمدترین حزب است و 80٪ درآمد خود را از آنها می گیرد. سایر ارگان های دولتی از جمله چین نیز وجود دارند که در آنها تعداد زیادی از توسعه دهندگان برای یافتن نقاط آسیب پذیر و فروش آنها فقط به دولت چین فعالیت می کنند. با این حال ، اوضاع در خاورمیانه متفاوت است ، جایی که بازار به دلایل بسیاری ضعیف در نظر گرفته می شود ، از جمله عدم اعتماد گسترده به فن آوری توسط دولت ها و مردم در تمام جهات زندگی آنها.
و گاهی اوقات هکرها به دنبال انتشار فیلم هایی برای شناسایی آنها و همچنین تبلیغ و اثبات قدرت هستند. در ماه مه 2011 ، ووپن ویدیویی از هک دستگاه را با سو explo استفاده در Chrome منتشر کرد ، اما آنها هیچ اطلاعاتی در مورد این آسیب پذیری به Google ندادند و خودداری کردند تا به آن بگویید چگونه آن را ببندید. و گوگل اعلام کرد که آنها از یک آسیب پذیری در فلش در مرورگر برای نفوذ به آن استفاده می کنند ، نه خود مرورگر ، و آنها برای به دست آوردن این شکاف به روزرسانی کردند اما Vupen در پاسخ به گوگل گفت این کاربران را فریب می دهد و آسیب پذیری هنوز وجود دارد و آنها همچنین از كمك آن امتناع ورزیدند ، كه باعث شد مقامات گوگل هكرها را فرصت طلب و غیراخلاقی توصیف كنند و میلیون ها كاربر را رها كنند. آنها فقط برای اثبات قدرت در معرض خطر هستند.
نتیجه
- برخی از هکرها آسیب پذیری ها را پیدا می کنند و آنها را به شرکت های رسمی می فروشند تا آنها را ببندند و جوایز دریافت کنند. این برای کاربر و شرکت ها خوب و مفید است.
- برخی از هکرها این آسیب پذیری ها را به اشخاص ثالثی که نمی خواهند این نقاط آسیب پذیر بسته شوند می فروشند تا بتوانند از آنها برای جاسوسی استفاده کنند. این بد است و به همه آسیب می رساند.
- هکرها نحوه استفاده یک خریدار از این آسیب پذیری را تضمین نمی کنند.
- برخی از افراد هستند که به عنوان واسطه کار می کنند و مبالغ هنگفتی را برای آن می گیرند.
- پردرآمدترین آسیب پذیری ، آسیب پذیری های iOS هستند زیرا سخت ترین آنها هستند.
- این هکر ممکن است آسیب پذیری های سیستم مانند iOS را کشف کند و از آنها در فرار از زندان استفاده نکند ، اما آنها را به سازمان های دولتی می فروشد تا به دستگاه های کاربران نفوذ کند و آنها را تبلیغ نکند تا اپل آنها را نبندد.
192 نظر