Любую профессию или умение можно использовать во благо или во зло. То же самое и с хакерами, и прежде чем вы подумаете, что хакер - плохой человек, я хочу напомнить вам, что есть разница между хакером и хакером. Как мы уже говорили раньше И что взломщик - это тот, кто крадет программы, веб-сайты и т. Д., Но хакер является профессионалом в обнаружении недостатков в компьютерных системах. Первоначально эта профессия использовалась для защиты систем от взломщиков. Например, если вы являетесь владельцем компании и хотите убедиться, что ваша система защищает ваши данные от взлома, вы используете хакера, чтобы выявить недостатки системы, а затем устранить их. И многие крупные компании, такие как Google и Facebook, предлагают хакерам большие суммы, если они обнаруживают недостатки в своих системах и сообщают им о них.

Теперь, когда мы знаем, что хакер - всего лишь профессиональный разработчик, использующий свои навыки на благо других, тогда как это знание может быть использовано во зло? Что ж, позвольте мне рассказать вам о другой плохой стороне, которую могут принять некоторые профессиональные хакеры, которая может приносить им десятки тысяч долларов в месяц, а возвращение - это «продажа дыр в безопасности спецслужбам».

Новость может шокировать некоторых, но это правда, которую он подробно изложил. Сайт Forbes Известный. Недавно распространились новости о том, что Google заплатил 60 1000 долларов двум программистам, которые смогли найти серьезные недостатки безопасности в браузере Google Chrome, и Google постоянно предоставляет обновления для своего знаменитого браузера и публикует список выплаченных сумм людям, которые смогли чтобы найти дыры в безопасности в браузере. Эти суммы выплачиваются в качестве вознаграждения за то, что они помогли им найти эти лазейки и затем закрыть их, но обычные суммы, которые можно увидеть, составляют 2000–60 долларов, но суммы достигают 120 тысяч долларов для двух человек или XNUMX долларов для двух пробелов. Для разработчиков По этой ссылке.

Получение вознаграждения за обнаружение лазейки - это нормально и приветствуется, независимо от того, насколько велика сумма, но это еще не все. Чауки Бекрар, владелец компании, занимающейся исследованиями в области безопасности, упоминает, что его компания не информирует Google о методах, используемых для поиска дыр в безопасности, даже не на сумму 60 тысяч долларов. Он добавил: «Мы не будем делиться этими секретами с Google, даже на сумму в миллион долларов, и мы не будем рассказывать им о способах помочь им закрыть бреши в безопасности. Мы хотим, чтобы это дело касалось только наших клиентов ». Это означает, что они будут информировать других людей о дырах в безопасности и способах их предотвращения, но они не будут сообщать об этом самому Google. Это означает, что эти клиенты не хотят, чтобы Google закрыл эти лазейки, иначе они позволят уязвимости добраться до них. Вы знаете, кто эти агенты? «Это органы государственной безопасности».

Согласно отчету, хакеры могут заработать в среднем 2000-3000 долларов на уязвимости системы безопасности, которую они обнаруживают в операционной системе, на веб-сайте компании или даже в известной программе, путем информирования владельца программы о существовании этой уязвимости и получения традиционная награда. Но он может выиграть в 10, а может быть, и в 100 раз больше у полиции, служб безопасности или даже у шпионов и врагов владельца этого проекта в обмен на то, что заставит их использовать эту лазейку и сохранить ее в секрете от владельца программы. чтобы не закрывать. Одна из организаций, специализирующихся в этой области, под названием Vupen, заявила, что ее клиенты ежегодно платят 100 XNUMX долларов за подписку на конфиденциальную услугу по изучению уязвимостей. Другими словами, компания ищет пробелы и создает пакеты «типа телефонных пакетов», и различные стороны участвуют в них с огромными суммами, чтобы получить уязвимости тайно и не объявляя о них, и они не спрашивают у Корпорация Вупен Вы говорите им, как получить уязвимости, даже не кто их купил, и все, что они хотят, - это получить уязвимость, а не публиковать ее. Что касается программ, в которых они находят недостатки безопасности и продают их своим клиентам, они упомянули, например, Microsoft Word, Adobe Reader, Google Android и, наконец, знаменитую систему Apple iOS, причем последняя является самой дорогой по цене, потому что она является наиболее распространенным и трудным для проникновения. Вот список цен на уязвимости для каждой операционной системы и приложения.

Конечно, есть много факторов, которые контролируют цену, в том числе распространение операционной системы, это означает, что целевая группа для уязвимости - большая категория, а также новизна системы, поэтому проникновение современной системы стоит больше, потому что уязвимости все еще новые, и компания, продающая их, не будет думать, что они ломаются так быстро, и мы видим в списке, что цена уязвимости системы Работа с Mac (над которой я работаю сейчас) стоит 20-50 тысяч долларов по сравнению с 60-120 для операционной системы Windows, что некоторым кажется нелогичным, потому что все думают, что система Mac является наиболее безопасной, поэтому ее уязвимости будут самыми дорогими, но есть еще один фактор, который заключается в том, что если вы знаете Для сильной уязвимости Windows вы нацелены на более чем миллиард устройств по всему миру, и это число вдвое больше, чем у пользователей Mac. Но, несмотря на эти огромные суммы, которые они получают в обмен на уязвимости, Vupen Foundation не продает уязвимости исключительно одному покупателю, а продает их более чем одному покупателю, и никто из них не узнает, что есть те, кто купил уязвимости. такая же уязвимость, как и он, и может продать ее более чем одному правительственному учреждению и зависит от того, что каждый покупатель никому не скажет. Он знает об этой лазейке.

Команда Vupen на популярной хакерской конференции Pwn2Own

Но есть некоторые хакеры, которые предпочитают выявлять покупателей собственных уязвимостей и быть крупными организациями или альянсами, такими как НАТО и его члены, и не продают уязвимости какой-либо стране за пределами НАТО, и они сказали, что проверяют заказы на покупку и стремятся предотвратить попадание информации и лазеек, которые они получают, в недемократические режимы, потому что диктаторские режимы будут использовать лазейки против своего собственного народа, в то время как демократические режимы будут использовать их для защиты своего народа от террористов и других лиц. Но проблема, по их словам, в том, что они не гарантируют, что нарушение останется в руках покупателя только потому, что, если вы продаете оружие кому-то, вы не гарантируете, что этот человек не продаст оружие кому-то третья сторона или что этот хороший и надежный покупатель является всего лишь посредником, как они говорят, что они продали кому-то уязвимость системы безопасности. Арабские страны тогда были удивлены тем, что она используется сирийским режимом для мониторинга политических активистов. В отчете говорится, что Vupen не спрашивает пользователя, что он будет делать с этой уязвимостью, или, точнее, его не интересует, потому что все, что для него имеет значение, - это получить только согласованную сумму на его счет, но является ли уязвимость улучшены или используются неправильно, для него это не важно.

Возникает вопрос, как эти лазейки продаются? Вы можете быть профессионалом в области компьютеров и обнаружить уязвимость, но вы не являетесь профессионалом в области маркетинга и оценки ее стоимости, и вы даже не можете иметь дело со службами безопасности, такими как разведка и другие, для продажи им уязвимостей. Вы просто профессиональный программист и ничего, кроме программирования, не разбираетесь. Вот вам и роль посредников, в том числе Grugq, это, конечно, кинетическое имя. Он живет в столице Таиланда, Бангкоке, и работает посредником. эти сделки комиссионные. Вам не кажется, что это небольшой процент? По его словам, в прошлом году он получил от сделок более миллиона долларов, и это заставляет вас представить размер сделок, которые он совершает? И его слава распространилась по всему миру, что заставляет его теперь не использовать простые лазейки и не соглашаться на сделку, если целевая цена лазейки не состоит как минимум из 15 цифр, и было упомянуто, что в декабре прошлого года он продал лазейка в госструктуру по цене четверти миллиона долларов. Если вы думаете, что эта работа секретная, и этот человек не знает своей правды, то это неправда, он работает публично, и это его фотография в ресторане, в котором он работает.

Когда его спросили, какие лазейки для него самые прибыльные и самые дорогие, он ответил: «Конечно, iOS, даже после распространения Android, но в Android легко проникнуть, поскольку для iOS требуется преодоление барьеров безопасности Apple и ее сложной системы. так что это самый сложный и самый дорогой ». Побег из тюрьмы Это была просто веб-страница, на которой был выполнен вывод, поэтому с ним произошел побег из тюрьмы, и есть организации, готовые заплатить более четверти миллиона долларов в обмен на то, чтобы стать эксклюзивными для них, потому что это позволит им легко проникнуть через любое устройство через браузер Safari. Что касается его самого важного клиента, он сказал, что это правительство США, которое, согласно заявлению, является крупнейшим покупателем лазеек и самой высокооплачиваемой стороной, и он получает от них 80% своего дохода. Есть также другие правительственные учреждения, в том числе Китай, в которых большое количество разработчиков работает над поиском уязвимостей и продажей их только правительству Китая. Однако ситуация иная на Ближнем Востоке, где рынок считается слабым по многим причинам, включая повсеместное отсутствие повсеместной зависимости правительств и людей от технологий во всех сферах их жизни.

А иногда хакеры стремятся опубликовать видео, чтобы идентифицировать их, а также быть пропагандистскими и доказать свою силу. В мае 2011 года Vupen опубликовал видео взлома устройства с использованием эксплойтов в Chrome, но они не предоставили Google никакой информации об этой уязвимости и отказались рассказать, как закрыть. Google объявил, что они использовали уязвимость во флеш-памяти в браузере, чтобы проникнуть в него, а не в сам браузер, и выпустили обновление, чтобы закрыть эту уязвимость, но Vupen ответил Google, сказав, что он обманывает пользователей, и уязвимость все еще существует, и они также отказался помочь, что побудило представителей Google охарактеризовать хакеров как оппортунистических и аморальных и оставить миллионы пользователей риску только для того, чтобы доказать свою силу.


Заключение

  1. Некоторые хакеры находят уязвимости и продают их официальным компаниям, чтобы закрыть их и получить вознаграждение. Это хорошо и выгодно для пользователя и компаний.
  2. Некоторые хакеры продают эти уязвимости третьим лицам, которые не хотят, чтобы эти уязвимости были закрыты, чтобы они могли использовать их для шпионажа. Это плохо и всем больно.
  3. Хакеры не гарантируют, как покупатель воспользуется этой уязвимостью.
  4. Есть люди, которые работают посредниками и получают за это огромные суммы.
  5. Самые прибыльные уязвимости - это уязвимости iOS, потому что они самые сложные.
  6. Хакер может обнаружить уязвимости системы, такие как iOS, и не использовать их для взлома, а продать их государственным органам для проникновения на устройства пользователей и не рекламировать их, чтобы Apple не закрыла их.
 Точно так же, как идет наземная война с использованием обычных вооружений, существует также и электронная война ... и страны оснащают свое оборудование, даже если эта война вспыхнет, она вытащила то, что было в ее эпоху, и взяла под свой контроль вражеская техника.
Как вы думаете? Вы ожидали этого черного рынка и торговли по лазейке и беспокоитесь по этому поводу?

Forbes

Статьи по теме