Her meslek veya beceri iyilik veya kötülük için kullanılabilir. Bilgisayar korsanları için de aynı şey ve bir hacker'ın kötü bir insan olduğunu düşünmeden önce, size bir hacker ile bir hacker arasında bir fark olduğunu hatırlatmak istiyorum. Daha önce konuştuğumuz gibi Ve korsanın programları, web sitelerini vb. Çalan kişi olduğunu, ancak bilgisayar korsanlarının bilgisayar sistemlerindeki boşlukları keşfetmede profesyonel olduğunu ... Başlangıçta bu meslek, sistemleri korsanlara karşı güvence altına almak için kullanılır. Örneğin, bir şirkete sahipseniz ve sisteminizin verilerinizi korsanlığa karşı koruduğundan emin olmak istiyorsanız, sizin için sistem açıklarını ortaya çıkarmak için bir bilgisayar korsanı kullanırsınız ve sonra bunları ele alırsınız. Ve Google ve Facebook gibi birçok büyük şirket, sistemlerinde kusurlar bulurlarsa ve onları bilgilendirirlerse bilgisayar korsanlarına büyük meblağlar sunar.
Artık hacker'ın becerisini başkalarının yararına kullanan profesyonel bir geliştirici olduğunu bildiğimize göre, bu bilgi kötülük için nasıl kullanılabilir? Pekala, size bazı profesyonel bilgisayar korsanlarının alabileceği diğer kötü tarafı da söyleyeyim, bu onlar için ayda on binlerce dolar yaratabilir ve geri dönüşü "istihbarat teşkilatlarına güvenlik açıkları satmaktır."
Haberler bazıları için şok edici olabilir, ancak ayrıntılı olarak sunduğum gerçek bu Forbes web sitesi Ünlü. Son zamanlarda, Google'ın, Google Chrome tarayıcısında ciddi güvenlik açıkları bulabilen iki programcıya 60 dolar ödediği haberi yayıldı ve Google, ünlü tarayıcısına sürekli güncellemeler sağlıyor ve bulmayı başaran kişilere ödenen miktarların bir listesini yayınlıyor. tarayıcıdaki güvenlik açıkları. Bu meblağlar, bu boşlukları bulup kapatmalarına yardımcı olmak için ödül olarak ödeniyor, ancak görülmesi gereken miktarlar 1000-2000 dolar, ancak miktarlar iki kişi için 60 bin doları, iki boşluk için 120 doları buluyor, bu, bu boşlukların ciddiyetini gösterir ve Google Chrome sürümleri sayfasını açabilir ve geliştiriciler için ödenen ödülleri görebilirsiniz. Bu bağlantı üzerinden.
Bir güvenlik açığı bulmanın ödülünü almak, miktarı ne kadar büyük olursa olsun normal ve memnuniyetle karşılanmaktadır, ancak bu noktada bitmiyor.Güvenlik araştırmaları alanında çalışan bir şirketin sahibi Chaouki Bekrar, şirketinin yaptığı açıklamada Google'a güvenlik açığı bulmak için kullanılan yöntemlerden 60 bin Dolar'lık bir meblağ bile haber vermeyerek sözlerine şöyle devam etti: “Bu sırları bir milyon doları bile Google ile paylaşmayacağız ve bunlardan bahsetmeyeceğiz. güvenlik açıklarını kapatmalarına yardımcı olmanın yolları. Bu konuyu yalnızca müşterilerimiz için saklamak istiyoruz. "Bu, diğer insanları güvenlik açıkları ve bunları önleme yolları hakkında bilgilendirecekleri, ancak Google'a kendi kendilerine söylemeyecekleri anlamına gelir. Bu, bu müşteriler Google'ın bu boşlukları kapatmasını istemez, aksi takdirde güvenlik açığının kendilerine ulaşmasına izin verirler. Bu ajanların kim olduğunu biliyor musunuz? "Devlet güvenlik kurumlarıdır."
Rapora göre bilgisayar korsanları, bir işletim sisteminde, bir şirketin web sitesinde, hatta ünlü bir programda keşfettikleri güvenlik açığından, program sahibini bu güvenlik açığının varlığından haberdar ederek ve elde ederek ortalama 2000-3000 dolar kazanabilirler. geleneksel ödül. Ancak bu boşlukla onları zorlamak ve programın sahibinden sır olarak saklamak karşılığında polisten, güvenlik hizmetlerinden, hatta bu projenin sahibinin casuslarından ve düşmanlarından 10 kez ve belki de 100 katını kazanabilir. kapatmamayı emredin. Bu alanda uzmanlaşmış kuruluşlardan biri olan Vupen, müşterilerinin gizli bir güvenlik açığı bilgi hizmetine abone olmak için yıllık 100 $ ödediğini söyledi. Diğer bir deyişle, şirket boşlukları araştırıp "telefon paketleri gibi" paketler hazırlar ve çeşitli taraflar güvenlik açıklarını gizlice ve duyurmadan elde etmek için bunlara büyük meblağlarla katılır ve sormazlar. Vupen Corporation Onlara güvenlik açıklarını nasıl ele geçireceklerini söylüyorsunuz, onları başka kim satın almış bile değil ve tüm istedikleri güvenlik açığını ele geçirmek ve yayınlamamaktır. Hangi programlarda güvenlik açığı bulduklarına ve bunları müşterilerine sattıklarına gelince, örneğin Microsoft Word, Adobe Reader, Google Android ve son olarak ünlü Apple iOS sisteminden bahsettiler ve ikincisi fiyatı en pahalı olanıdır çünkü en yaygın olanı ve girmesi en zor olanıdır. Her işletim sistemi ve uygulamaya göre güvenlik açığı fiyatlandırmasının bir listesi aşağıda verilmiştir.
Tabii ki, işletim sisteminin yaygınlaşması da dahil olmak üzere fiyatı kontrol eden birçok faktör vardır, bu, güvenlik açığının hedef kitlesinin büyük bir kategori olduğu ve ayrıca sistemin yeniliği, dolayısıyla modern bir sisteme nüfuz etme maliyetleri anlamına gelir. daha fazla çünkü güvenlik açıkları hala yeni ve onu satan şirket bu kadar hızlı kırılacağını hayal etmeyecek ve listede Mac'i çalıştıran (şu anda üzerinde çalıştığım) bir sistem güvenlik açığının fiyatının 20-50 değerinde olduğunu görüyoruz. Windows işletim sistemi için 60-120 ile karşılaştırıldığında bin dolar, bu bazılarına mantıksız geliyor çünkü herkes Mac sisteminin en güvenli olduğunu düşünüyor, bu yüzden güvenlik açıkları en pahalı olacak, ancak bir başka faktör var, eğer biliyorsan Güçlü bir Windows güvenlik açığı için, dünya çapında bir milyardan fazla cihazı hedefliyorsunuz ve bu sayı, Mac kullanıcılarının iki katı. Ancak, güvenlik açıkları karşılığında elde ettikleri bu büyük meblağlara rağmen, Vupen Vakfı güvenlik açıklarını yalnızca bir alıcıya satmaz, bunun yerine bunları birden fazla alıcıya satar ve hiçbiri, kendisi gibi aynı güvenlik açığı ve bunu birden fazla devlet kurumuna satabilir ve her alıcının kimseye söylemeyeceğine bağlıdır Bu boşluğu bildiğini.
Vupen Ekibi popüler Pwn2Own Hacker Konferansında
Ancak, kendi güvenlik açıklarının alıcılarını tespit etmeyi ve NATO ve üyeleri gibi büyük kurum veya ittifaklar olmayı tercih eden ve güvenlik açıklarını NATO dışındaki hiçbir ülkeye satmayan bazı hackerlar var ve satın alma emirlerini kontrol ettiklerini ve Demokratik olmayan rejimlere ulaşmaktan elde ettikleri bilgi ve boşlukları önlemeye çalışacaklar çünkü diktatörlük rejimleri kendi halklarına karşı boşluklar kullanacak, demokratik rejimler ise halklarını teröristlerden ve diğerlerinden korumak için kullanacaklar. Ancak onların söylediklerine göre sorun, ihlalin yalnızca alıcının elinde kalacağını garanti etmemeleridir, çünkü birine bir silah satarsanız, bu kişinin silahı bir kişiye satmayacağını garanti edemezsiniz. üçüncü şahıs ya da bu iyi ve güvenilir alıcının birisine güvenlik açığı sattıklarını söylediklerine göre sadece bir aracı olduğu Arap ülkeleri, Suriye rejimi tarafından siyasi aktivistleri izlemek için kullanılıyor olmasına şaşırdılar. Rapor, Vupen'in kullanıcıya bu güvenlik açığıyla ne yapacağını sormadığını veya daha doğrusu bilmek istemediğini çünkü onun için önemli olan tek şeyin yalnızca hesabında kararlaştırılan tutarı almak olduğunu, ancak güvenlik açığının olup olmadığını söylüyor. geliştirilmiş veya yanlış kullanılmışsa, bu onun için önemli değil.
Ortaya çıkan soru, bu boşlukların nasıl satıldığı? Bilgisayar alanında bir profesyonel olabilirsiniz ve bir güvenlik açığı keşfedebilirsiniz, ancak pazarlama ve fiyatını tahmin etme konusunda profesyonel değilsiniz, ayrıca güvenlik açıklarını onlara satmak için istihbarat ve diğerleri gibi güvenlik hizmetleriyle bile uğraşamazsınız. Siz sadece profesyonel bir programcısınız ve programlamadan başka bir şey bilmiyorsunuz. İşte Grugq'lar da dahil olmak üzere arabulucuların rolü geliyor, tabii ki kinetik bir isim. O Tayland'ın başkenti Bangkok'ta yaşıyor ve arabulucu olarak çalışıyor.% Of bu anlaşmalar komisyondur. Sizce bu oranın küçük olduğunu düşünmüyor musunuz? Ona göre geçen yıl anlaşmalardan bir milyon dolardan fazla para almış ve bu da yaptığı anlaşmaların büyüklüğünü size hayal ettiriyor mu? Ve şöhreti tüm dünyaya yayıldı, bu da onu artık basit boşluklarla uğraşmamasına ve kaçak deliğin hedef fiyatı en az 15 rakamdan oluşmuyorsa bir anlaşmayı kabul etmemesine neden oldu ve geçen Aralık ayında bir Çeyrek milyon dolarlık bir bedelle bir devlet kurumuna kaçış. Bu işin gizli olduğunu ve bu kişinin kendi gerçeğini bilmediğini düşünüyorsanız, o halka açık çalıştığı için bu doğru değildir ve bu onun çalıştığı bir lokantadaki fotoğrafıdır.
Kendisi için en karlı ve en pahalı boşlukların ne olduğu sorulduğunda, "Tabii ki iOS, Android'in yayılmasından sonra bile, ancak Android'in nüfuz etmesi kolaydır, ancak iOS, Apple'ın güvenlik engellerini ve karmaşık sistemini aşmayı gerektirir. en zor ve pahalıdır. " jailbreak Bu sadece bir geri çekilme yapan bir web sayfasıydı ve jailbreak ona, onlara özel olmak karşılığında çeyrek milyon dolardan fazla ödemeye istekli kuruluşların olduğu, çünkü herhangi bir cihaza kolayca girmelerine izin verecek. Safari tarayıcısı. En önemli müşterisine gelince, açıklamaya göre, açıkların en büyük alıcısı ve en yüksek ödeme yapan tarafın ABD hükümeti olduğunu ve gelirinin% 80'ini onlardan aldığını söyledi. Güvenlik açıklarını bulmak ve bunları yalnızca Çin hükümetine satmak için çalışan çok sayıda geliştiricinin bulunduğu Çin de dahil olmak üzere başka devlet kurumları da vardır. Bununla birlikte, hükümetlerin ve insanların hayatlarının her alanında teknolojiye yaygın bir şekilde güvenmemeleri de dahil olmak üzere pazarın birçok nedenden dolayı zayıf görüldüğü Orta Doğu'da durum farklıdır.
Ve bazen bilgisayar korsanları, kimliklerini tespit etmek ve aynı zamanda propaganda olmak ve gücü kanıtlamak için videolar yayınlamaya çalışıyorlar. Mayıs 2011'de Vupen, Chrome'da açıklardan yararlanılan bir cihaz saldırısının videosunu yayınladı, ancak bu güvenlik açığı hakkında Google'a herhangi bir bilgi vermedi ve reddetti nasıl kapatılacağını söylemek için. Google, tarayıcının kendisine değil, tarayıcıya sızmak için flaşta bir güvenlik açığı kullandıklarını ve bu güvenlik açığını kapatmak için bir güncelleme yayınladıklarını açıkladı, ancak Vupen, Google'a bunun kullanıcıları aldattığını ve güvenlik açığının hala var olduğunu söyleyerek yanıt verdi. Ayrıca yardım etmeyi reddetti, bu da Google yetkililerinin bilgisayar korsanlarını fırsatçı ve ahlaksız olarak tanımlamasına ve milyonlarca kullanıcıyı bırakmasına neden oldu. Yalnızca güçlerini kanıtlamak için risk altındalar.
Sonuç
- Bazı bilgisayar korsanları güvenlik açıklarını bulur ve bunları kapatmak ve ödül kazanmak için resmi şirketlere satarlar. Bu, kullanıcı ve şirketler için iyi ve faydalıdır.
- Bazı bilgisayar korsanları, bu güvenlik açıklarını casusluk amacıyla kullanabilmeleri için bu güvenlik açıklarının kapatılmasını istemeyen üçüncü taraflara satarlar. Bu kötü ve herkesi incitiyor.
- Bilgisayar korsanları, bir alıcının bu güvenlik açığını nasıl kullanacağını garanti etmez.
- Aracı olarak çalışan ve bunun için büyük meblağlar alan bazı insanlar var.
- En kazançlı güvenlik açıkları, iOS güvenlik açıklarıdır çünkü en zor olanlarıdır.
- Bilgisayar korsanı, iOS gibi sistem güvenlik açıklarını keşfedebilir ve bunları jailbreak sırasında kullanmayabilir, ancak bunları devlet kurumlarına kullanıcıların cihazlarına sızmak için satabilir ve Apple tarafından kapatılmaması için bunların reklamını yapmaz.
192 yorum