Кожну професію чи навичку можна використати для добра чи зла. Те саме з хакерами, і перш ніж ви подумаєте, що хакер - це погана людина, я хочу нагадати вам, що існує різниця між хакером і хакером Як ми вже говорили раніше І що зломщик - це той, хто краде програми, веб-сайти тощо, але хакер - це професіонал у виявленні прогалин у комп’ютерних системах. Спочатку ця професія використовувалася для захисту систем від зломщиків. Наприклад, якщо ви є власником компанії і хочете переконатися, що ваша система захищає ваші дані, захищена від злому, ви використовуєте хакер, щоб виявити системні вразливості для вас, а потім усунути їх. І багато великих компаній, таких як Google і Facebook, пропонують хакерам великі суми, якщо вони виявляють недоліки в своїх системах та повідомляють про них.
Тепер, коли ми знаємо, що хакер - це лише професійний розробник, який використовує свою майстерність на користь інших, як тоді ці знання можна використовувати для зла? Ну, дозвольте мені сказати вам іншу погану сторону, яку можуть прийняти деякі професійні хакери, що може приносити для них десятки тисяч доларів на місяць, а повернення - "продаж дір у безпеці спецслужбам".
Можливо, новина для когось шокує, але це правда, яку він детально виклав Веб-сайт Forbes Знаменитий. Нещодавно поширилася новина про те, що Google заплатив $ 60 1000 двом програмістам, які змогли знайти серйозні недоліки безпеки в браузері Google Chrome, і Google постійно надає оновлення своєму знаменитому браузеру і публікує список сум, що виплачуються людям, які змогли щоб знайти дірки в безпеці у браузері. Ці суми виплачуються як винагорода для того, щоб допомогти їм знайти ці лазівки, а потім закрити їх, але звичайні суми, які потрібно побачити, становлять 2000-60 доларів, але суми сягають 120 тисяч доларів для двох людей, або XNUMX доларів за два пробіли, це свідчить про серйозність цих лазів, і ви можете відкрити сторінку версій Google Chrome і побачити винагороду, виплачену розробникам За цим посиланням.
Отримати винагороду за пошук вразливості - це нормально і вітається, якою б великою не була сума, але на цьому не зупиняється. Чаукі Бекрар, власник однієї з компаній, що працюють у галузі досліджень безпеки, зазначає, що його компанія робить не повідомляти Google про методи, використовувані для пошуку дір у безпеці, навіть на суму 60 тис. доларів. Він додав: "Ми не будемо ділитися цими секретами з Google, навіть суми в мільйон доларів, і ми не будемо розповідати їм про способи допомогти їм закрити діри в безпеці. Ми хочемо залишити це питання лише для наших клієнтів ". Це означає, що вони будуть інформувати інших людей про діри в безпеці та способи їх запобігання, але вони не будуть повідомляти самій Google. Це означає, що ці клієнти не хочуть, щоб Google закривав ці лазівки, інакше вони дозволять вразливості дійти до них. Чи знаєте ви, хто такі агенти? "Вони є державними органами безпеки".
Згідно з повідомленням, хакери можуть заробляти в середньому 2000-3000 доларів за уразливість системи безпеки, яку вони виявляють в операційній системі, на веб-сайті компанії чи навіть у відомій програмі, повідомивши власника програми про існування цієї вразливості та отримавши традиційна винагорода. Але він може виграти 10 разів і, можливо, 100 разів цю суму від поліції, спецслужб або навіть шпигунів та ворогів власника цього проекту в обмін на те, щоб змусити їх цю лазівку і зберегти в таємниці від власника програми в щоб не закривати його. Одна з організацій, яка спеціалізується в цій галузі, - Vupen, - заявила, що її клієнти щороку платять 100 XNUMX доларів за підписку на конфіденційну службу знань про вразливість. Іншими словами, компанія шукає прогалини і робить пакети, "наприклад, телефонні пакети", і різні сторони беруть у них величезні суми, щоб таємно і без оголошення їх отримати лазівки, і вони не просять у Корпорація Vupen Ви розповідаєте їм, як отримати вразливості, навіть не хто їх ще купив, і все, що вони хочуть, - це отримати вразливість і не публікувати її. Щодо того, в яких програмах вони знаходять недоліки безпеки та продають їх своїм клієнтам, вони згадали, наприклад, Microsoft Word, Adobe Reader, Google Android і, нарешті, відому систему Apple iOS, а остання є найдорожчою за ціною, оскільки є найбільш розповсюдженим і найважчим для проникнення. Ось список цін на вразливості відповідно до кожної операційної системи та програми.
Звичайно, є багато факторів, які контролюють ціну, в тому числі поширення операційної системи, це означає, що цільовою групою вразливості є велика категорія, а також новизна системи, тому проникнення сучасної системи коштує тим більше, що вразливості все ще нові, і компанія, яка їх продає, не уявить, що вона так швидко зламається, і ми бачимо в списку, що ціна системної вразливості, що працює під управлінням Mac (над якою я зараз працюю), коштує 20-50 тисяч доларів у порівнянні з 60-120 для операційної системи Windows, що комусь здається нелогічним, оскільки всі вважають, що система Mac є найбезпечнішою, тому її вразливості будуть найдорожчими, але є ще один фактор, який полягає в тому, що якщо ви знаєте Для сильної вразливості Windows ви націлюєтеся на понад мільярд пристроїв у всьому світі, і це число вдвічі більше, ніж користувачі Mac. Але, незважаючи на ці величезні суми, які вони отримують в обмін на вразливі місця, Фонд Vupen не продає вразливості виключно одному покупцеві, а продає їх кільком покупцям, і ніхто з них не знатиме, що є ті, хто купив така ж уразливість, як він, може продати її більш ніж одному державному органу, і це залежить від того, що кожен покупець нікому не скаже, що він знає цю лазівку.
Команда Vupen на популярній хакерській конференції Pwn2Own
Але є деякі хакери, які вважають за краще ідентифікувати покупців своїх уразливих місць і бути головними установами або альянсами, такими як НАТО та його члени, і не продають вразливі місця будь-якій країні за межами НАТО, і вони сказали, що вони ретельно вивчають запити на придбання та прагнуть запобігти отриманню отриманої ними інформації та прогалин в недемократичні режими, оскільки диктаторські режими використовуватимуть лазівки проти власного народу, тоді як демократичні режими використовуватимуть їх для захисту свого народу від терористів та інших. Але проблема, за їхніми висловлюваннями, полягає в тому, що вони не гарантують, що лазівка залишиться в руках покупця лише тому, що якщо ви продаєте комусь зброю, ви не гарантуєте, що ця людина не продасть зброю третім партії або що цей хороший і надійний покупець - це просто посередник, як це сталося згідно з їхніми висловлюваннями, що вони продали комусь уразливий пункт безпеки. Арабські країни тоді були здивовані тим, що сирійський режим використовує його для моніторингу політичних активістів. У звіті сказано, що Vupen не запитує користувача, що він буде робити з цією вразливістю, або, точніше, він не піклується про те, щоб знати, оскільки для нього важливо лише отримати узгоджену суму лише на своєму рахунку, але чи є вразливість вдосконалений або неправильно використаний, це для нього не важливо.
Постає питання, як продаються ці лазівки? Ви можете бути професіоналом у галузі комп’ютерів і виявити вразливість, але ви не професіонал у галузі маркетингу та оцінки його ціни, ані навіть не можете мати справу зі службами безпеки, такими як розвідка та інші, щоб продати їм уразливості. Ви просто професійний програміст і не знаєте нічого, крім програмування. Тут наступає роль посередників, зокрема Гругка, що, звісно, є кінетичною назвою. Він живе в столиці Таїланду Бангкоку і працює посередником.% З цих угод комісійні. Вам не здається, що цей відсоток невеликий. За його словами, минулого року він отримав понад мільйон доларів від угод, і це змушує вас уявити собі розмір угод, які він укладає? І його слава поширилася по всьому світу, що змушує його тепер не торгуватися у простих лазівках і не приймати угоди, якщо цільова ціна лазівки не складається щонайменше з 15 цифр, і згадувалося, що в грудні минулого року він продав лазівка до державного органу за ціною чверть мільйона доларів. Якщо ви вважаєте, що ця робота є секретною, і ця людина не знає своєї істини, то це неправда, оскільки він працює публічно, і це його фотографія в ресторані, в якому він працює.
На запитання, які для нього найвигідніші лазівки та найдорожчі, він відповів: "Звичайно, iOS навіть після поширення Android, але в Android легко проникнути, оскільки для iOS потрібно порушити бар'єри безпеки Apple та її складну систему, тому це найскладніше і найдорожче ". Джейлбрейк Що було просто веб-сторінкою, яка зробила вихід, і з ним сталося втечу з в'язниці, що є організації, готові заплатити більше чверті мільйона доларів в обмін на те, щоб стати для них ексклюзивними, оскільки це дозволить їм легко проникнути через будь-який пристрій Браузер Safari. Що стосується його найважливішого замовника, він сказав, що саме уряд США, який, згідно із заявою, є найбільшим покупцем лазівки та найбільш платниковою стороною, і він отримує від них 80% свого доходу. Існують також інші державні установи, включаючи Китай, в яких існує велика кількість розробників, які працюють над тим, щоб знайти вразливі місця та продати їх лише китайському уряду. Однак ситуація відрізняється на Близькому Сході, де ринок вважається слабким з багатьох причин, включаючи широку відсутність широкої залежності урядів та людей від технологій у всіх напрямках свого життя.
Іноді хакери прагнуть опублікувати відео, щоб їх ідентифікувати, а також бути пропагандою та довести владу.У травні 2011 року Vupen опублікував відео про злом пристрою з експлойтами в Chrome, але вони не надали Google інформації про цю вразливість і відмовились щоб розповісти, як закрити. Google оголосив, що вони використовували вразливість у флеш-пам'яті браузера для проникнення в нього, а не сам браузер, і вони видали оновлення, щоб закрити цю вразливість, але Vupen відповів Google, сказавши, що це обманює користувачів, і вразливість все ще існує, і вони також відмовився допомогти, що змусило чиновників Google описати хакерів як кон'юнктурних та аморальних і залишити мільйони користувачів. Вони ризикують лише для того, щоб довести силу.
Висновок
- Деякі хакери знаходять уразливі місця і продають їх офіційним компаніям, щоб закрити їх і отримати винагороду. Це добре та вигідно для користувача та компаній.
- Деякі хакери продають ці вразливості третім сторонам, які не хочуть, щоб ці вразливості були закриті, щоб вони могли використовувати їх для шпигунства. Це погано і шкодить усім.
- Хакери не гарантують, як покупець використає цю вразливість.
- Є деякі люди, які працюють посередниками і отримують за це величезні суми.
- Найбільш прибуткові вразливості - це вразливості iOS, оскільки вони є найскладнішими.
- Хакер може виявити системні вразливості, такі як iOS, і не використовувати їх у в'язниці, але продавати державним установам, щоб проникнути на пристрої користувачів і не рекламувати їх, щоб Apple не закривала їх.
192 відгуків