Ogni professione o abilità può essere sfruttata nel bene o nel male. La stessa cosa con gli hacker, e prima che tu pensi che un hacker sia una persona cattiva, voglio ricordarti che c'è una differenza tra un hacker e un hacker Come abbiamo già parlato prima E che il cracker è colui che ruba programmi, siti Web e altre cose, ma l'hacker è un professionista nello scoprire le lacune nei sistemi informatici.In origine, questa professione è utilizzata per proteggere i sistemi dai cracker. Ad esempio, se possiedi un'azienda e vuoi assicurarti che il tuo sistema stia proteggendo i tuoi dati sia al sicuro dall'hackeraggio, utilizzi un hacker per rivelare le vulnerabilità del sistema per te e poi le affronti. E molte grandi aziende come Google e Facebook offrono ingenti somme agli hacker se scoprono difetti nei loro sistemi e li informano di loro.
Ora che sappiamo che l'hacker è solo uno sviluppatore professionista che usa la sua abilità a beneficio degli altri, allora come può questa conoscenza essere usata per il male? Bene, lasciate che vi dica l'altro lato negativo che alcuni hacker professionisti potrebbero sopportare, il che potrebbe generare decine di migliaia di dollari al mese per loro, e il risultato è "vendere falle di sicurezza alle agenzie di intelligence".
La notizia può essere scioccante per alcuni, ma questa è la verità, che ho presentato in dettaglio Sito web di Forbes Il famoso. Recentemente, si è diffusa la notizia che Google aveva pagato $ 60 a due programmatori che sono stati in grado di trovare gravi falle di sicurezza nel browser Google Chrome, e Google fornisce continuamente aggiornamenti al suo famoso browser e pubblica un elenco degli importi pagati alle persone che hanno potuto per trovare falle di sicurezza nel browser. Questi importi vengono pagati come ricompensa per aiutarli a trovare queste scappatoie e poi chiuderle, ma gli importi usuali da vedere sono 1000-2000 dollari, ma gli importi raggiungono i 60mila dollari per due persone, o 120 dollari per due lacune, questo spiega la gravità di queste scappatoie e puoi aprire la pagina delle versioni di Google Chrome e vedere i premi pagati per gli sviluppatori Tramite questo link.
Ottenere una ricompensa per aver trovato una vulnerabilità è normale e gradito, non importa quanto sia grande l'importo, ma non si ferma a questo punto. Chaouki Bekrar, il proprietario di un'azienda che lavora nel campo della ricerca sulla sicurezza, afferma che la sua azienda lo fa non informare Google sui metodi seguiti per trovare falle di sicurezza, nemmeno per l'importo di 60mila dollari Ha aggiunto: "Non condivideremo questi segreti con Google, nemmeno la somma di un milione di dollari, e non li informeremo di modi per aiutarli a colmare le falle nella sicurezza. Vogliamo che la questione sia riservata solo ai nostri clienti. "Ciò significa che informeranno le altre persone sulle falle nella sicurezza e sui modi per prevenirle, ma non lo diranno a Google stesso. Ciò significa che questi clienti non vogliono che Google chiuda queste scappatoie, altrimenti consentirebbero alla vulnerabilità di raggiungerli. Sai chi sono questi agenti? "Sono le agenzie di sicurezza del governo".
Secondo il rapporto, gli hacker possono guadagnare in media 2000-3000 dollari dalla vulnerabilità di sicurezza che scoprono in un sistema operativo, nel sito Web di un'azienda o anche in un programma famoso, informando il proprietario del programma dell'esistenza di questa vulnerabilità e ottenendo la tradizionale ricompensa. Ma può vincere 10 volte e forse 100 volte questo importo dalla polizia, dai servizi di sicurezza o persino da spie e nemici del proprietario di questo progetto in cambio di costringerli con questa scappatoia e mantenerlo segreto al proprietario del programma in per non chiuderla. Una delle organizzazioni specializzate in questo campo, chiamata Vupen, ha affermato che i suoi clienti pagano $ 100 all'anno per iscriversi a un servizio di informazioni riservate sulle vulnerabilità. In altre parole, l'azienda cerca le lacune e realizza pacchetti "come pacchetti telefonici" e varie parti vi partecipano con somme enormi per ottenere le vulnerabilità in segreto e senza annunciarle, e non chiedono da Vupen Corporation Dite loro come ottenere le vulnerabilità, nemmeno chi le ha acquistate, e tutto ciò che vogliono è ottenere la vulnerabilità e non pubblicarla. Per quanto riguarda i programmi in cui trovano falle di sicurezza e li vendono ai propri clienti, hanno menzionato, ad esempio, Microsoft Word, Adobe Reader, Google Android e infine il famoso sistema Apple iOS, e quest'ultimo è il prezzo più costoso perché è il più diffuso e il più difficile da penetrare. Di seguito è riportato un elenco dei prezzi delle vulnerabilità, in base a ciascun sistema operativo e applicazione.
Certo, ci sono molti fattori che controllano il prezzo, compresa la diffusione del sistema operativo, significa che il gruppo target per la vulnerabilità è una categoria ampia, e anche la novità del sistema, quindi la penetrazione di un sistema moderno costa di più perché le vulnerabilità sono ancora nuove e l'azienda che le vende non immaginerà che si rompa così rapidamente, e vediamo nella lista che il prezzo di una vulnerabilità di sistema Operare con il Mac (su cui sto lavorando ora) vale 20-50 migliaia di dollari rispetto ai 60-120 per il sistema operativo Windows, che ad alcuni sembra illogico perché tutti pensano che il sistema Mac sia il più sicuro, quindi le sue vulnerabilità saranno le più costose, ma c'è un altro fattore che è che se lo sai Per una forte vulnerabilità di Windows, scegli come target più di un miliardo di dispositivi in tutto il mondo e questo numero è doppio rispetto agli utenti Mac. Ma nonostante queste enormi somme che ottengono in cambio delle vulnerabilità, la Fondazione Vupen non vende le vulnerabilità esclusivamente a un acquirente, ma piuttosto le vende a più di un acquirente, e nessuno di loro saprà che c'è chi ha acquistato il la stessa vulnerabilità come lui e potrebbe venderla a più di un'agenzia governativa e dipende da questo ogni acquirente non lo dirà a nessuno. Conosce questa scappatoia.
Il team Vupen alla popolare conferenza degli hacker Pwn2Own
Ma ci sono alcuni hacker che preferiscono identificare gli acquirenti delle proprie vulnerabilità ed essere importanti istituzioni o alleanze come la NATO ei suoi membri e non vendono le vulnerabilità a nessun paese al di fuori della NATO e hanno detto che controllano gli ordini di acquisto e cercano di impedire che le informazioni e le scappatoie che ottengono raggiungano regimi non democratici perché i regimi dittatoriali useranno scappatoie contro il proprio popolo, mentre i regimi democratici le useranno per proteggere il proprio popolo dai terroristi e da altri. Ma il problema, secondo il loro detto, è che non garantiscono che la violazione rimarrà nelle mani dell'acquirente solo perché se vendi un'arma a qualcuno, non garantisci che questa persona non venderà l'arma a un terze parti o che questo acquirente buono e affidabile sia solo un intermediario, come è successo secondo il loro detto di aver venduto una vulnerabilità di sicurezza a qualcuno. I paesi arabi sono rimasti sorpresi quindi che venga utilizzato per monitorare gli attivisti politici dal regime siriano. Il rapporto afferma che Vupen non chiede all'utente cosa farà con questa vulnerabilità o, più precisamente, non gli interessa sapere perché tutto ciò che conta per lui è ottenere l'importo concordato solo nel suo account, ma se la vulnerabilità è migliorato o abusato, questo non è importante per lui.
La domanda che sorge è come vengono vendute queste scappatoie? Potresti essere un professionista nel campo dei computer e scoprire una vulnerabilità, ma non sei un professionista nel marketing e nella stima del suo prezzo, né puoi nemmeno occuparti dei servizi di sicurezza come l'intelligence e altri per vendere loro le vulnerabilità. Sei solo un programmatore professionista e non sai altro che programmare. Ecco il ruolo dei mediatori, compreso quello di Grugq, che ovviamente è un nome cinetico. Vive nella capitale thailandese, Bangkok, e lavora come mediatore.% Di questi accordi sono le commissioni. Non credi che questa percentuale sia piccola, secondo lui l'anno scorso ha ottenuto più di un milione di dollari dagli affari, e questo ti fa immaginare l'entità degli affari che fa? E la sua fama si è diffusa in tutto il mondo, il che lo fa ora non trattare in semplici scappatoie e non accetta un affare se il prezzo obiettivo della scappatoia non è composto da almeno 15 numeri, ed è stato detto che lo scorso dicembre ha venduto un scappatoia a un'agenzia governativa al prezzo di un quarto di milione di dollari. Se pensi che questo lavoro sia segreto e questa persona non conosce la sua verità, allora questo non è vero, poiché lavora in pubblico e questa è la sua foto in un ristorante in cui lavora
Alla domanda su quali sono le scappatoie più redditizie per lui e quelle più costose, ha risposto: "Ovviamente iOS, anche dopo la diffusione di Android, ma Android è facile da penetrare, poiché per iOS richiede di violare le barriere di sicurezza di Apple e il suo complesso sistema, quindi è il più difficile e il più costoso. " jailbreak Che era solo una pagina web che ha effettuato un prelievo, quindi gli è successo il jailbreak che ci sono organizzazioni disposte a pagare più di un quarto di milione di dollari in cambio di diventare loro esclusive perché permetterà loro di penetrare facilmente attraverso qualsiasi dispositivo il browser Safari. Per quanto riguarda il suo cliente più importante, ha detto che è il governo degli Stati Uniti, che, secondo la dichiarazione, è il più grande acquirente di scappatoie e la parte più pagante, e da esse ricava l'80% delle sue entrate. Ci sono anche altre agenzie governative, inclusa la Cina, in cui c'è un gran numero di sviluppatori che lavorano per trovare le vulnerabilità e venderle solo al governo cinese. Ma la situazione è diversa in Medio Oriente, dove il mercato è considerato debole per molte ragioni, inclusa la diffusa mancanza di dipendenza diffusa dalla tecnologia da parte dei governi e delle persone in tutte le direzioni della loro vita.
E a volte gli hacker cercano di pubblicare video per identificarli e anche essere propaganda e dimostrare il potere. Nel maggio 2011, Vupen ha pubblicato un video di un dispositivo hackerato con exploit in Chrome, ma non ha fornito alcuna informazione a Google su questa vulnerabilità e ha rifiutato per dirgli come chiuderlo. Google ha annunciato di aver utilizzato una vulnerabilità nel flash nel browser per penetrarlo, non il browser stesso, e ha rilasciato un aggiornamento per chiudere questa vulnerabilità, ma Vupen ha risposto a Google dicendo che inganna gli utenti e la vulnerabilità esiste ancora e loro ha anche rifiutato di aiutarlo, il che ha spinto i funzionari di Google a descrivere gli hacker come opportunisti e immorali e lasciare milioni di utenti che sono a rischio solo per dimostrare la loro forza.
Conclusione
- Alcuni hacker trovano le vulnerabilità e le vendono ad aziende ufficiali per chiuderle e ottenere ricompense. Ciò è positivo e vantaggioso per l'utente e le aziende.
- Alcuni hacker vendono queste vulnerabilità a terzi che non vogliono che queste vulnerabilità vengano chiuse in modo da poterle utilizzare per lo spionaggio. Questo è brutto e fa male a tutti.
- Gli hacker non garantiscono come un acquirente utilizzerà questa vulnerabilità.
- Ci sono alcune persone che lavorano come intermediari e ottengono enormi somme per questo.
- Le vulnerabilità più redditizie sono le vulnerabilità iOS perché sono le più difficili.
- L'hacker potrebbe scoprire le vulnerabilità del sistema come iOS e non utilizzarle nel jailbreak, ma venderle ad agenzie governative per penetrare nei dispositivi degli utenti e non pubblicizzarle per non essere chiuse da Apple.
192 recensioni