すべての職業やスキルは、善または悪のために悪用される可能性があります。 ハッカーについても同じことが言えます。ハッカーが悪い人だと思う前に、ハッカーとハッカーには違いがあることを思い出してください。 すでにお話ししたように また、クラッカーはプログラムやWebサイトなどを盗むものですが、ハッカーはコンピューターシステムのギャップを発見する専門家であり、元々、この職業はクラッカーからシステムを保護するために使用されます。 たとえば、会社を所有していて、システムがデータをハッキングから保護していることを確認したい場合は、ハッカーを使用してシステムの脆弱性を明らかにし、それらに対処します。 また、GoogleやFacebookなどの多くの大企業は、ハッカーがシステムの欠陥を発見して通知した場合、ハッカーに多額の資金を提供しています。

ハッカーが他の人の利益のために彼のスキルを使用する単なるプロの開発者であることがわかったので、この知識を悪にどのように使用できますか? さて、プロのハッカーが取るかもしれないもう一つの悪い面をお話ししましょう。それは彼らのために月に数万ドルを生み出すかもしれません、そしてその見返りは「情報機関にセキュリティホールを売る」ことです。

ニュースは一部の人に衝撃を与えるかもしれませんが、これは私が詳細に提示した真実です フォーブスのウェブサイト 有名な。 最近、GoogleがGoogle Chromeブラウザの重大なセキュリティ上の欠陥を見つけることができた60人のプログラマーに1000ドルを支払ったというニュースが広まり、Googleは有名なブラウザの更新を継続的に提供し、見つけた人々に支払われた金額のリストを公開していますブラウザのセキュリティホール。 これらの金額は、抜け穴を見つけて閉じるための報酬として支払われますが、通常の金額は2000〜60ドルですが、120人でXNUMX万ドル、XNUMXつのギャップでXNUMXドルに達します。これは、これらの抜け穴の深刻さを示しており、Google Chromeバージョンのページを開いて、開発者に支払われる報酬を確認できます。 このリンク経由.

セキュリティ研究の分野で働いている会社のオーナーであるChaoukiBekrarは、脆弱性を見つけた報酬を受け取ることは、その金額がいくら多くても、正常であり、歓迎されていますが、この時点で止まりません。 60万ドルの金額でさえも、セキュリティホールを見つけるために実行された方法についてGoogleに通知しないでください。彼は次のように付け加えました。これは、セキュリティホールとその防止方法について他の人に通知するが、Google自体には通知しないことを意味します。これは、これらが顧客は、Googleがこれらの抜け穴を塞ぐことを望んでいません。そうしないと、脆弱性が彼らに到達することを許してしまいます。 これらのエージェントが誰であるか知っていますか? 「彼らは政府の治安機関です。」

レポートによると、ハッカーは、プログラムの所有者にこの脆弱性の存在を通知し、入手することで、オペレーティングシステム、企業のWebサイト、または有名なプログラムで発見したセキュリティの脆弱性から平均2000〜3000ドルを稼ぐことができます。伝統的な報酬。 しかし、彼はこの抜け穴で彼らを強制し、プログラムの所有者から秘密にしておくことと引き換えに、警察、セキュリティサービス、またはこのプロジェクトの所有者のスパイや敵からこの金額の10倍、おそらく100倍を獲得することができますそれを閉じないように命令します。 この分野を専門とする組織の100つであるVupenは、顧客が機密の脆弱性知識サービスに加入するために年間XNUMXドルを支払うと述べました。 言い換えれば、同社はギャップを探して「電話パッケージなど」のパッケージを作成し、さまざまな関係者が巨額で参加して抜け穴を密かに、発表せずに取得し、 ヴペン株式会社 あなたは、他に誰が脆弱性を購入したかではなく、脆弱性を取得する方法を彼らに伝えます。彼らが望むのは、脆弱性を取得し、公開しないことだけです。 彼らがセキュリティ上の欠陥を見つけて顧客に販売するプログラムについては、たとえば、Microsoft Word、Adobe Reader、Google Android、そして最後に有名なApple iOSシステムについて言及しましたが、後者は価格が最も高いためです。最も普及していて、侵入するのが最も難しいです。 これは、各オペレーティングシステムとアプリケーションに応じた脆弱性の価格のリストです。

もちろん、オペレーティングシステムの普及など、価格を左右する要因はたくさんあります。つまり、脆弱性のターゲットグループは大きなカテゴリであり、システムの新規性もあるため、最新のシステムの浸透にはコストがかかります。さらに、脆弱性はまだ新しく、それを販売している会社はそれがそれほど速く壊れるとは想像していません。リストには、システムの脆弱性の価格が20〜50の価値があることがわかります。 Windowsオペレーティングシステムの60-120と比較して数千ドル。Macシステムが最も安全であると誰もが考えているため、一部の人には非論理的です。そのため、その脆弱性は最も高価になりますが、知っている場合は別の要因があります。 Windowsの強力な脆弱性については、世界中のXNUMX億を超えるデバイスをターゲットにしており、この数はMacユーザーのXNUMX倍です。 しかし、脆弱性と引き換えに得られるこれらの巨額にもかかわらず、Vupen Foundationは脆弱性をXNUMX人の購入者だけに販売するのではなく、複数の購入者に販売します。彼と同じ脆弱性があり、それを複数の政府機関に販売する可能性があり、各購入者がこの抜け穴を知っている人には誰にも言わないことに依存しています。

人気のPwn2Ownハッカー会議でのVupenチーム

しかし、自分の脆弱性の購入者を特定し、NATOやそのメンバーなどの主要な機関や提携を希望し、NATO以外の国に脆弱性を販売しないことを好むハッカーもいます。彼らは、購入要求を精査すると述べました。そして、彼らが入手した情報と抜け穴が非民主的政権に到達するのを防ぐよう努めます。なぜなら、ディクタトリアル政権は彼ら自身の人々に対して抜け穴を使用し、民主主義政権はそれらをテロリストや他の人々から人々を保護するために使用するからです。 しかし、彼らの言うことによると、問題は、あなたが誰かに武器を売った場合、あなたがその人がその武器を売らないことを保証しないという理由だけで、違反が買い手の手に残ることを保証しないということです第三者、またはこの信頼できる購入者は、セキュリティの脆弱性を誰かに販売したという彼らの発言によると、単なる仲介者であるということです。アラブ諸国は、シリア政権によって政治活動家を監視するために使用されていることに驚いていました。 レポートによると、Vupenはユーザーにこの脆弱性をどうするかを尋ねません。より正確には、彼にとって重要なのはアカウントで合意された金額を取得することだけなので、知りたくないのですが、脆弱性が改善または誤用された場合、これは彼にとって重要ではありません。

発生する問題は、これらの抜け穴がどのように販売されているかです。 あなたはコンピュータの分野の専門家であり、脆弱性を発見するかもしれませんが、その価格のマーケティングと見積もりの​​専門家ではありません。また、インテリジェンスなどのセキュリティサービスに対処して脆弱性を販売することもできません。 あなたはただのプロのプログラマーであり、プログラミング以外は何も知りません。もちろん、動的な名前であるGrugq'sを含むメディエーターの役割があります。彼はタイの首都バンコクに住んでいて、メディエーターとして働いています。%これらの取引のうち、手数料があります。 この割合は小さいと思いませんか。彼によると、昨年は取引から百万ドル以上を稼いだので、彼が行っている取引の規模を想像できますか? そして彼の名声は世界中に広がり、彼は今では単純な抜け穴を扱っておらず、抜け穴の目標価格が少なくとも15つの数字で構成されていない場合は取引を受け入れず、昨年5月に彼はXNUMX万ドルの価格で政府機関への抜け穴。 この作品が秘密で、この人が彼の真実を知らないと思うなら、彼は公の場で働いているので、これは真実ではありません、そしてこれは彼が働いているレストランでの彼の写真です。

彼にとって最も収益性の高い抜け穴と最も高価なものは何かと尋ねられたとき、彼は「もちろん、Androidが普及した後でもiOSは簡単に侵入できますが、iOSはAppleのセキュリティ障壁とその複雑なシステムを破る必要があります。それは最も困難で高価です。」そして、これらのギャップは多くの人にとって興味深いものです。たとえば、iOS3の古いジェイルブレイクは次のように有名です。 ジェイルブレイクメ これは撤回を行った単なるWebページだったので、脱獄が起こったので、デバイスを簡単に侵入できるため、独占的になることと引き換えに80万ドル以上を支払うことをいとわない組織がありました。 Safariブラウザ。 彼の最も重要な顧客については、声明によると、抜け穴の最大の買い手であり、最も高額の当事者であるのは米国政府であり、収入のXNUMX%を彼らから得ていると述べた。 中国を含む他の政府機関もあり、脆弱性を見つけて中国政府にのみ販売するために多くの開発者が働いています。 しかし、問題は中東では異なります。中東では、政府や人々が生活のあらゆる方向でテクノロジーに広く依存していないなど、さまざまな理由で市場が弱いと考えられています。

また、ハッカーは動画を公開して自分たちを特定し、宣伝や権力を証明しようとすることがあります。2011年XNUMX月、VupenはChromeのエクスプロイトを使用したデバイスハッキングの動画を公開しましたが、この脆弱性に関する情報をGoogleに提供せず、拒否しました。それを閉じる方法を教えてください。 Googleは、ブラウザ自体ではなく、ブラウザのフラッシュの脆弱性を使用して侵入したことを発表し、この脆弱性を閉じるためのアップデートを発行しましたが、VupenはGoogleに応答して、ユーザーを欺き、脆弱性はまだ存在しており、また、それを支援することを拒否したため、Googleの関係者は、ハッカーを日和見的で不道徳であると説明し、何百万人ものユーザーを残しました。彼らは強さを証明するためだけに危険にさらされています。


結論

  1. 一部のハッカーは脆弱性を見つけて公式企業に販売し、脆弱性を閉じて報酬を受け取ります。 これは、ユーザーと企業にとって有益であり、有益です。
  2. 一部のハッカーは、これらの脆弱性をスパイ活動に使用できるように閉鎖することを望まないサードパーティにこれらの脆弱性を販売します。 これは悪いことで、みんなを傷つけます。
  3. ハッカーは、購入者がこの脆弱性をどのように使用するかを保証しません。
  4. 仲買人として働いて巨額を稼ぐ人もいます。
  5. 最も収益性の高い脆弱性はiOSの脆弱性です。これは、最も困難なためです。
  6. ハッカーはiOSなどのシステムの脆弱性を発見し、脱獄では使用しない可能性がありますが、政府機関に販売してユーザーのデバイスに侵入し、Appleがそれらを閉じないように宣伝しません。
 地上での通常兵器との戦争と同じように、電子戦もあります...そして国々は装備を装備しています、この戦争が起こったとしても、それはその時代のものを取り出して支配しました敵の技術。
どう思いますか? あなたはこの闇市場と抜け穴の取引を予想していましたか、そしてあなたはこれについて心配していますか?

フォーブス

関連記事