可以利用每种职业或技能谋取善恶。 骇客也是如此,在您认为骇客是坏人之前,我想提醒您,骇客与骇客之间是有分别的 正如我们之前所说的 黑客是窃取程序,网站等的人,但是黑客是发现计算机系统漏洞的专业人士,最初,该职业用于保护系统免受黑客的攻击。 例如,如果您拥有一家公司,并且想要确保您的系统正在保护您的数据免受黑客攻击,那么您可以使用黑客为您揭示系统漏洞,然后加以解决。 而且,许多大型公司(例如Google和Facebook)如果发现系统漏洞并通知他们,就会向黑客提供大量资金。
既然我们知道黑客只是利用其技能为他人谋取利益的专业开发人员,那么如何将这些知识用于邪恶? 好吧,让我告诉您,一些专业的黑客可能会采取另一种不利的一面,这可能每月给他们带来数万美元的收益,而回报是“向情报机构出售了安全漏洞”。
这个消息可能使某些人感到震惊,但这是事实,我已详细介绍了这一事实。 福布斯网站 著名的。 最近,有消息传出,Google已向两名能够在Google Chrome浏览器中发现严重安全漏洞的程序员支付了60美元,并且Google不断提供其著名浏览器的更新,并发布了向能够使用该功能的人支付的金额的清单。在浏览器中查找安全漏洞。 支付这些金额是作为对他们帮助他们发现这些漏洞然后关闭漏洞的奖励,但是通常看到的金额是1000-2000美元,但是两个人的金额达到60万美元,两个缺口达到120美元,这表明了这些漏洞的严重性,您可以打开Google Chrome版本页面,查看为开发人员支付的奖励 通过此链接.
无论有多大的漏洞,获得发现漏洞的奖励都是正常且值得欢迎的,但并不能因此而停止,从事安全研究领域的公司的所有者Chaouki Bekrar提到,他的公司确实做到了不会告知Google寻找安全漏洞所采取的方法,甚至不会向他透露60万美元的金额。帮助他们解决安全漏洞的方法。我们希望仅将此问题留给我们的客户。”这意味着他们将告知其他人有关安全漏洞和预防方法,但他们不会告诉Google本身。这意味着这些客户不希望Google消除这些漏洞,否则他们将允许该漏洞到达。 您知道这些经纪人是谁吗? “他们是政府安全机构。”
根据该报告,黑客可以通过通知程序所有者该漏洞的存在并获取信息,从而从他们在操作系统,公司网站甚至著名程序中发现的安全漏洞中平均赚取2000-3000美元。传统奖励。 但是他可以从警察,安全部门甚至这个项目的所有者的间谍和敌人那里赢得10倍甚至100倍的收益,以换取强迫他们进行此漏洞并使其秘密成为程序所有者的秘密为了不关闭它。 专门从事该领域的组织之一,名为Vupen,说其客户每年要支付100美元才能订阅一项机密的漏洞知识服务。 换句话说,该公司搜索空白并制作“电话软件包”之类的软件包,并且各方面都以巨额资金参与其中,以秘密地获取这些漏洞,而没有宣布它们,并且他们不向用户询问。 沃邦公司 您告诉他们如何获取漏洞,甚至没有其他人购买这些漏洞,而他们想要的只是获取而不是发布漏洞。 关于他们发现哪些程序存在安全漏洞并将其出售给客户的程序,他们提到了例如Microsoft Word,Adobe Reader,Google Android,最后是著名的Apple iOS系统,后者价格最昂贵,因为它是最广泛,最难渗透的。 这是根据每个操作系统和应用程序列出的漏洞定价的列表。
当然,有很多因素可以控制价格,包括操作系统的传播,这意味着该漏洞的目标群体是一个很大的类别,而且该系统还具有新颖性,因此,现代系统的渗透成本还有更多的漏洞,因为这些漏洞仍然是新漏洞,出售该漏洞的公司将无法想象它会很快消失,并且我们在列表中看到,使用Mac(我现在正在研究)的系统漏洞的价格值得20-50 Windows操作系统的价格为60-120美元,而不是XNUMX美元,这在某些人看来似乎是不合逻辑的,因为每个人都认为Mac系统是最安全的,因此其漏洞将是最昂贵的,但是还有另一个因素是,如果您知道对于严重的Windows漏洞,您以全球超过XNUMX亿台设备为目标,而这个数字是Mac用户的两倍。 但是,尽管他们用这些巨额资金换取了这些漏洞,但Vupen基金会并没有将这些漏洞专门卖给一个买家,而是将其卖给了一个以上的买家,而且没有人会知道有谁购买了这些漏洞。像他一样的弱点,可能将其卖给一个以上的政府机构,并取决于每个买家都不会告诉任何他知道这个漏洞的人。
受欢迎的Pwn2Own黑客大会上的Vupen团队
但是,有些黑客更愿意确定自己漏洞的购买者,并成为北约及其成员等主要机构或联盟,并且不将漏洞出售给北约以外的任何国家,他们表示,他们仔细审查了购买请求并试图防止他们获得的信息和漏洞到达非民主政权,因为专政政权将利用漏洞来攻击本国人民,而民主政权将利用这些漏洞来保护其人民免受恐怖分子和其他人的侵害。 但是,按照他们的说法,问题在于,他们不能保证仅在您将武器出售给某人时,才不能保证该人不会将武器出售给某人,这是因为买方不能保证该违规行为仍会留在买方手中。第三方,或者说这个好而可靠的买家只是中间人,正如他们所说的那样,他们将安全漏洞卖给了某人。阿拉伯国家对此感到惊讶,当时叙利亚政权将其用于监视政治活动家。 该报告说,Vupen不会询问用户该漏洞的处理方法,或者更确切地说,他并不愿意知道,因为对他而言,重要的是仅从他的帐户中获得约定的金额,而是该漏洞是否是改善或滥用,这对他来说并不重要。
出现的问题是这些漏洞是如何出售的? 您可能是计算机领域的专家,并且发现了漏洞,但您不是市场营销和估计其价格的专家,甚至不能与情报等安全服务进行交易并将漏洞出售给他们。 您只是一个专业的程序员,对编程一无所知。调解员的角色便来了,其中包括格鲁格(Grugq's),这当然是一个动态名称。他住在泰国首都曼谷,担任调解员。这些交易中有佣金。 你不认为这个比例很小吗?据他说,去年他从交易中获得了超过一百万美元,这让你想象他所进行的交易有多大? 而且他的名气已经传遍世界,这使得他现在不再处理简单的漏洞,并且如果漏洞的目标价格不低于15个数字,也不会接受交易,并且提到去年5月他卖出了一个以一百万美元的四分之一的价格给政府机构造成漏洞。 如果您认为这项工作是秘密的,并且这个人不知道他的真相,那么这不是真的,因为他在公共场所工作,这是他在他工作的餐厅里的照片。
当被问及对他来说最有利可图的漏洞和最昂贵的漏洞是什么时,他回答说:“当然,即使在Android普及之后,iOS仍然很容易渗透,而iOS则需要突破苹果的安全壁垒和复杂的系统,因此这些差距是许多人所感兴趣的,例如iOS 3的旧越狱,其著名之处在于 越狱 那只是一个撤出网页,越狱事件发生在他身上,因为有组织愿意为他们排他性的交易支付超过一百万美元的四分之一,因为这将使他们能够轻松地通过该设备渗透任何设备。 Safari浏览器。 关于他最重要的客户,他说是美国政府,据声明说,美国是漏洞的最大买家和收入最高的政党,他从漏洞中获得了80%的收入。 在包括中国在内的其他政府机构中,也有大量的开发商致力于发现漏洞并将其仅出售给中国政府。 但是,中东的情况有所不同,在中东,由于许多原因,市场被认为是疲软的,包括政府和人民在生活的各个方向上普遍缺乏对技术的广泛依赖。
有时,黑客试图发布视频以识别它们,并进行宣传和证明能力。2011年XNUMX月,Vupen发布了有关利用Chrome浏览器漏洞的设备黑客的视频,但他们没有向Google提供有关此漏洞的任何信息,因此拒绝了告诉它如何关闭它。 谷歌宣布,他们使用浏览器中的闪存中的漏洞而不是浏览器本身来渗透它,并发布了更新以关闭此漏洞,但是Vupen回应谷歌,说它欺骗了用户并且该漏洞仍然存在,他们也拒绝提供帮助,这促使Google官员将黑客描述为机会主义和不道德的行为,并给数百万用户带来了威胁。他们冒着风险只是为了证明自己的实力。
结论
- 一些黑客发现了漏洞并将其出售给官方公司以关闭漏洞并获得奖励。 这对用户和公司都是有益和有益的。
- 一些黑客将这些漏洞出售给不希望关闭这些漏洞的第三方,以便他们可以将其用于间谍活动。 这很糟糕,伤害了所有人。
- 黑客不保证购买者将如何使用此漏洞。
- 有些人作为中间人工作,并从中获得丰厚的收入。
- 最有利可图的漏洞是iOS漏洞,因为它们是最困难的。
- 黑客可能会发现系统漏洞(例如iOS),并且不会在越狱中使用它们,而是将其出售给政府机构,以渗透用户的设备,并且不做广告,以免被Apple关闭。
192条评论