Keresés: - [Re:] Munkanélküli informatikus sebezhetőséget venne

Legfrissebb anyagok

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Keresés

Új hozzászólás Aktív témák

#14 buherbela csendes tag MacCaine #13

Új Válasz 2012-06-19 14:07:21 #14
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

buherbela

csendes tag

válasz MacCaine #13 üzenetére

Azért kell 10-szeres erőforrás, mert ilyen esetben te nem a bugot árulod, hanem az exploitot. Egy modern operációs rendszereken, megbízhatóan működő exploit megírása az okosok szerint átlagosan nagyjából 10x akkora meló, mint pusztán a bugot megtalálni (és belátni róla, hogy kihasználható).
Az MS12-020 részletei nagyjából március óta nyilvánosak, nyilvános exploit viszont nincs rá. A ZDI-sek állítólag fejlesztettek egyet, 3 emberhónap melóval. Maga a bug elméletileg előjöhetett egy megfelelően megírt/konfigurált fuzzerrel is.
#12 buherbela csendes tag MacCaine #11

Új Válasz 2012-06-19 13:23:02 #12
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

buherbela

csendes tag

válasz MacCaine #11 üzenetére

"Szürke" piac eddig is működött a nyilvános mellett. Ha befektsz X erőforrást egy exploitba, azért gyakorlatilag kockázatmentesen kaphatsz X*Y pénzt mondjuk a ZDI-től. Ha befektetsz 10X erőforrást, _és_ megvannak a kapcsolataid _és_ nem érdekel mire használják a kódot _és_ jók az idegeid (lásd még: http://buhera.blog.hu/2012/03/27/fegyvernepperek), kaphatsz mondjuk 20XY pénzt a szürkepiacon. Utóbbi azonban a többségnek egyszerűen nem reális opció.
#10 buherbela csendes tag MacCaine #9

Új Válasz 2012-06-19 10:26:54 #10
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

buherbela

csendes tag

válasz MacCaine #9 üzenetére

ahhoz, hogy ilyen árat kapj, nagyságrendekkel nagyobb melót kell befektetned (általában multiplatform exploitot kell írnod, ami nem is biztos h mindig lehetséges), mint ha csak a bugokra, esetleg proof-of-conceptre játszanál, ahogy az általában szokás.
#8 buherbela csendes tag bambano #7

Új Válasz 2012-06-18 22:05:05 #8
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

buherbela

csendes tag

válasz bambano #7 üzenetére

pedig vannak már páran: ZDI, iDefense, Beyond Security - hogy csak az ismert publikusakat említsem. A piac elég nagynak és jól feloszthatónak tűnik, legalábbis egyelőre.
#6 buherbela csendes tag

Új Válasz 2012-06-18 17:41:12 #6
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

buherbela

csendes tag

Ez nem akkora újdonság, a ZDI konkrétan erre lett kitalálva (lásd Pwn2Own), szóval Portnoy-ék csak megpróbálják kiszervezni azt az "üzletágat", amit egyébként is ők találtak ki, és hajtottak évekig TippingPoint, később HP színekben. Tapasztalat egyébként, hogy a ZDI-ből az utóbbi időben egyre keservesebb pénzt lehetett kinyerni...
Bár arról még nincs infó, hogy kik lennének az Exodus reménybeli vásárlói, a ZDI-nél azért messze nem osztogattak százezer dollárokat a kutatóknak, inkább ezreket, a gyártókat pedig ingyen értesítették a sérülékenységekről. Az ilyen meseösszegek akkor játszanak, ha csak nagyon kevesen tudnak egy adott hibáról + van hozzá megbízható exploit is.
A kutatónak pedig azért éri meg a játék, mert a brókernek általában jobbak a kapcsolatai, és könnyebben tudja értékesíteni az infót, másrészt egyfajta proxyként védi a bejelentő s*ggét is a jogászoktól, garanciát vállal a kifizetésre stb.