Każdy zawód lub umiejętność można wykorzystać dla dobra lub zła. To samo z hakerami i zanim pomyślisz, że haker to zły człowiek, chcę ci przypomnieć, że istnieje różnica między hakerem a hakerem Jak już mówiliśmy wcześniej I że cracker to ten, który kradnie programy, strony internetowe i inne rzeczy, ale haker jest profesjonalistą w wykrywaniu luk w systemach komputerowych.Pierwotnie ten zawód jest używany do zabezpieczania systemów przed crackerami. Na przykład, jeśli jesteś właścicielem firmy i chcesz mieć pewność, że Twój system chroni Twoje dane przed włamaniami, używasz hakera, aby ujawnić za Ciebie luki w systemie, a następnie je eliminujesz. Wiele dużych firm, takich jak Google i Facebook, oferuje hakerom duże kwoty, jeśli odkryją błędy w swoich systemach i poinformują ich o nich.

Skoro wiemy, że haker jest tylko zawodowym programistą wykorzystującym swoje umiejętności dla dobra innych, to jak można tę wiedzę wykorzystać do zła? Cóż, pozwólcie, że powiem wam drugą złą stronę, którą mogą przyjąć niektórzy zawodowi hakerzy, co może generować dla nich dziesiątki tysięcy dolarów miesięcznie, a zwrotem jest „sprzedawanie luk w zabezpieczeniach agencjom wywiadowczym”.

Wiadomości mogą być dla niektórych szokujące, ale taka jest prawda, którą szczegółowo przedstawiłem Witryna Forbes Sławny. Niedawno rozeszła się wiadomość, że Google zapłacił 60 1000 dolarów dwóm programistom, którzy byli w stanie znaleźć poważne luki w zabezpieczeniach przeglądarki Google Chrome, a Google stale dostarcza aktualizacje swojej słynnej przeglądarki i publikuje listę kwot zapłaconych osobom, które były w stanie aby znaleźć luki bezpieczeństwa w przeglądarce. Kwoty te są wypłacane jako nagroda za pomoc w znalezieniu tych luk, a następnie ich zamknięciu, ale zwykle są to 2000-60 dolarów, ale kwoty sięgają 120 tysięcy dolarów dla dwóch osób lub XNUMX dolarów dla dwóch luk, pokazuje to powagę tych luk i możesz otworzyć stronę z wersjami Google Chrome i zobaczyć nagrody wypłacone programistom Przez ten link.

Otrzymanie nagrody za znalezienie luki jest normalne i mile widziane, bez względu na to, jak duża jest to kwota, ale na tym nie koniec. Chaouki Bekrar, właściciel firmy zajmującej się badaniami nad bezpieczeństwem, wspomina, że ​​jego firma robi nie informować Google o zastosowanych metodach wyszukiwania luk w zabezpieczeniach, nawet na kwotę 60 tysięcy dolarów. Dodał: „Nie udostępnimy Google tych tajemnic, nawet kwoty miliona dolarów i nie poinformujemy ich o sposoby pomagania im w zamykaniu luk w zabezpieczeniach. Chcemy zachować tę sprawę tylko dla naszych klientów ”. Oznacza to, że będą informować inne osoby o lukach w zabezpieczeniach i sposobach ich zapobiegania, ale nie poinformują o tym samego Google. Oznacza to, że ci klienci nie chcą, aby firma Google zamykała te luki, w przeciwnym razie pozwoliliby, aby luka do nich dotarła. Czy wiesz, kim są ci agenci? „To rządowe agencje bezpieczeństwa”.

Według raportu hakerzy mogą zarobić średnio 2000-3000 dolarów na luce w zabezpieczeniach, którą odkryją w systemie operacyjnym, stronie internetowej firmy, a nawet słynnym programie, informując właściciela programu o istnieniu tej luki i uzyskując tradycyjna nagroda. Ale może wygrać 10 razy, a może 100 razy tyle od policji, służb bezpieczeństwa, a nawet szpiegów i wrogów właściciela tego projektu w zamian za narzucenie im tej luki i zatajenie tego przed właścicielem programu w nie zamykać go. Jedna z organizacji specjalizujących się w tej dziedzinie, Vupen, powiedziała, że ​​jej klienci płacą 100 XNUMX USD rocznie za subskrypcję poufnej usługi wiedzy o lukach w zabezpieczeniach. Innymi słowy, firma wyszukuje luki i sprawia, że ​​pakiety „takie jak pakiety telefonów”, a różne strony uczestniczą w nich z ogromnymi sumami, aby pozyskać luki w tajemnicy i bez ogłaszania ich, a nie pytają Vupen Corporation Mówisz im, jak zdobyć luki, nawet kto jeszcze je kupił, a oni chcą tylko zdobyć lukę i nie publikować jej. Jeśli chodzi o programy, w których znajdują luki w zabezpieczeniach i sprzedają je swoim klientom, wspomnieli np. O Microsoft Word, Adobe Reader, Google Android, a na końcu o słynnym systemie Apple iOS, a ten ostatni jest najdroższy cenowo, bo jest najbardziej rozpowszechniony i najtrudniejszy do penetracji. Oto lista cen luk w zabezpieczeniach w zależności od systemu operacyjnego i aplikacji.

Oczywiście istnieje wiele czynników wpływających na cenę, w tym rozpowszechnienie systemu operacyjnego, oznacza to, że grupą docelową podatności jest duża kategoria, a także nowość systemu, więc penetracja nowoczesnego systemu kosztuje więcej, bo luki są wciąż nowe, a sprzedająca je firma nie będzie sobie wyobrażać, że tak szybko się psuje, a na liście widzimy, że cena luki w systemie operującym na Macu (nad którą teraz pracuję) jest warta 20-50 tysięcy dolarów w porównaniu do 60-120 za system operacyjny Windows, co niektórym wydaje się nielogiczne, ponieważ wszyscy uważają, że system Mac jest najbezpieczniejszy, więc jego luki będą najdroższe, ale jest jeszcze jeden czynnik, który jest taki, jeśli wiesz Jeśli chodzi o silną lukę w systemie Windows, celujesz w ponad miliard urządzeń na całym świecie, a liczba ta jest dwukrotnie większa niż w przypadku użytkowników komputerów Mac. Ale pomimo tych ogromnych sum, które otrzymują w zamian za luki w zabezpieczeniach, Fundacja Vupen nie sprzedaje luk wyłącznie jednemu kupującemu, ale raczej sprzedaje je więcej niż jednemu kupującemu i żaden z nich nie będzie wiedział, że są tacy, którzy kupili taką samą lukę jak on i może sprzedać ją więcej niż jednej agencji rządowej i zależy od tego, że każdy kupujący nikomu nie powie, że zna tę lukę.

Zespół Vupen na popularnej konferencji Pwn2Own Hacker

Są jednak hakerzy, którzy wolą identyfikować nabywców własnych luk w zabezpieczeniach i być głównymi instytucjami lub sojuszami, takimi jak NATO i jego członkowie, i nie sprzedają luk w zabezpieczeniach żadnemu krajowi poza NATO i powiedzieli, że sprawdzają zamówienia i starają się zapobiec przedostawaniu się informacji i luk, które uzyskują, do niedemokratycznych reżimów, ponieważ reżimy dyktatorskie będą wykorzystywać luki przeciwko własnym narodom, podczas gdy demokratyczne reżimy wykorzystają je do ochrony swoich obywateli przed terrorystami i innymi osobami. Ale problem, zgodnie z ich powiedzeniem, polega na tym, że nie gwarantują, że naruszenie pozostanie w rękach kupującego tylko dlatego, że jeśli sprzedasz komuś broń, nie gwarantujesz, że ta osoba nie sprzeda broni osoba trzecia lub że ten dobry i niezawodny kupiec jest tylko pośrednikiem, jak to się zdarzyło w ich powiedzeniu, że sprzedali komuś lukę w zabezpieczeniach. Kraje arabskie były wtedy zaskoczone, że jest on używany do monitorowania działaczy politycznych przez reżim syryjski. Z raportu wynika, że ​​Vupen nie pyta użytkownika, co zrobi z tą luką, a dokładniej nie dba o to, aby wiedzieć, bo liczy się tylko to, żeby dostać na swoje konto uzgodnioną kwotę, ale czy luka jest ulepszone lub niewłaściwie użyte, nie jest to dla niego ważne.

Powstaje pytanie, w jaki sposób te luki są sprzedawane? Możesz być profesjonalistą w dziedzinie komputerów i odkryć lukę w zabezpieczeniach, ale nie jesteś profesjonalistą w marketingu i szacowaniu jej ceny, ani nie możesz nawet zajmować się usługami bezpieczeństwa, takimi jak wywiad i inne, aby sprzedać im luki. Jesteś tylko zawodowym programistą i nie znasz się na programowaniu. Oto rola mediatorów, w tym również Grugqa, co jest oczywiście nazwą kinetyczną. Mieszka w stolicy Tajlandii, Bangkoku i pracuje jako mediator.% Z tych transakcji są prowizje. Czy nie sądzisz, że ten procent jest mały, według niego w zeszłym roku dostał ponad milion dolarów z transakcji, a to sprawia, że ​​wyobrażasz sobie rozmiary transakcji, które robi? A jego sława rozprzestrzeniła się po całym świecie, co sprawia, że ​​nie zajmuje się teraz prostymi lukami i nie akceptuje transakcji, jeśli cena docelowa luki nie obejmuje co najmniej 15 liczb, a wspomniano, że w grudniu ubiegłego roku sprzedał luka do agencji rządowej za cenę ćwierć miliona dolarów. Jeśli myślisz, że ta praca jest tajna, a ta osoba nie zna swojej prawdy, to nie jest to prawda, ponieważ pracuje publicznie, a to jest jego zdjęcie w restauracji, w której pracuje.

Zapytany, jakie luki są dla niego najbardziej dochodowe i najdroższe, odpowiedział: „Oczywiście iOS, nawet po rozpowszechnieniu Androida, ale Android jest łatwy do penetracji, podczas gdy iOS wymaga przełamania barier bezpieczeństwa Apple i jego złożonego systemu, więc to najtrudniejsze i najdroższe. ”I te luki są interesujące dla wielu, na przykład stary jailbreak na iOS 3 znany jako Ucieczka z więzienia To była tylko strona internetowa, która dokonała wypłaty, więc jailbreak przydarzył mu się, że istnieją organizacje skłonne zapłacić ponad ćwierć miliona dolarów w zamian za stanie się dla nich wyłącznością, ponieważ pozwoli im to łatwo przeniknąć przez dowolne urządzenie przeglądarka Safari. Jeśli chodzi o swojego najważniejszego klienta, to powiedział, że to rząd USA, który według oświadczenia jest największym nabywcą luk i najlepiej zarabiającą stroną, z których uzyskuje 80% swojego dochodu. Istnieją również inne agencje rządowe, w tym Chiny, w których wielu programistów pracuje nad znalezieniem luk i sprzedaniem ich wyłącznie chińskiemu rządowi. Ale sprawa jest inna na Bliskim Wschodzie, gdzie rynek jest uważany za słaby z wielu powodów, w tym z powszechnego braku powszechnego polegania na technologii przez rządy i ludzi we wszystkich kierunkach ich życia.

Czasami hakerzy próbują publikować filmy, aby je zidentyfikować, a także w celu propagandy i udowodnienia władzy. W maju 2011 r. Vupen opublikował film przedstawiający włamanie do urządzenia z exploitami w Chrome, ale nie przekazali Google żadnych informacji o tej luce i odmówili powiedzieć mu, jak to zamknąć. Google ogłosił, że wykorzystał lukę we flashu w przeglądarce, aby ją przeniknąć, a nie samą przeglądarkę, i wydali aktualizację, aby zamknąć tę lukę, ale Vupen odpowiedział Google, mówiąc, że oszukuje użytkowników, a luka nadal istnieje i oni odmówił także pomocy, co skłoniło przedstawicieli Google do opisania hakerów jako oportunistycznych i niemoralnych, pozostawiając miliony użytkowników. Ryzykuje się tylko po to, by udowodnić swoją siłę.

Wniosek

  1. Niektórzy hakerzy znajdują luki w zabezpieczeniach i sprzedają je oficjalnym firmom, aby je zamknąć i zdobyć nagrody. Jest to dobre i korzystne dla użytkownika i firm.
  2. Niektórzy hakerzy sprzedają te luki stronom trzecim, które nie chcą, aby te luki były zamykane w celu wykorzystania ich do szpiegostwa. To jest złe i boli wszystkich.
  3. Hakerzy nie gwarantują, jak kupujący wykorzysta tę lukę.
  4. Są ludzie, którzy pracują jako pośrednicy i dostają za to ogromne sumy.
  5. Najbardziej lukratywnymi lukami w zabezpieczeniach są luki w systemie iOS, ponieważ są one najtrudniejsze.
  6. Haker może wykryć luki w systemie, takie jak iOS, i nie wykorzystywać ich w jailbreaku, ale sprzedać je agencjom rządowym, aby penetrowały urządzenia użytkowników i nie reklamowały ich, aby nie zostały zamknięte przez Apple.
 Tak jak na ziemi toczy się wojna z bronią konwencjonalną, jest też wojna elektroniczna ... a kraje przygotowują swój sprzęt, nawet jeśli ta wojna wybuchnie, to zniszczyła to, co było w swojej epoce i przejęła kontrolę nad technologia wroga.
Co myślisz? Czy spodziewałeś się tego czarnego rynku i handlu lukami i czy się tym martwisz?

Forbes

Powiązane artykuły