«Дырявый» рынок уязвимостей

Новости
0
3.2 k

Ваша сестра нaшли бaг. К рaзрaбoтчику, в стaрый дoбрый дaркнeт или к государству, которое настоящее обещает хакерам 800 млн рублей за уязвимости. И это конечно так. В былые времена искатели багов были мотивированы признанием промежду «своих», а сегодня основной движущей силой, конечно, являются мошна. Но так ли просто найти не только самостоятельно баг, но и покупателя? Или это результат кропотливых поисков, же вам все же удалось отыскать дыру. Что чинить с уязвимостью? У специалиста по компьютерной безопасности или у хакера унич множество вариантов поведения после обнаружения. Конечно, можно доставить на блюдечке разработчику, можно предоставить доступ общественности, а разрешается и продать. Легально или не очень. Цена за находку зависит через основных факторов: сложность определения уязвимости, степень популярности приложения и контекст эксплуатируемого приложения, и стоимостное выражение может колебаться от 5 000$ до 250 000$. Минимальную а оценку уязвимости можно посмотреть в публичных Bug Bounty программах. Это те граница от и до, в которых стоит мыслить. Важно понять, что мнение уязвимости без должного анализа — это сугубо субъективный протекание, ведь каждый скажет свою цифру с потолка. Это чем-то сродни на оценку предметов искусства. Каждый предмет, а в нашем случае уязвимость, в уникальна и имеется в единственном числе. Для кого-то невыгодный стоит ничего, а кто-то готов заплатить миллионы. За (семь) (верст не все люди технического склада ума обладают навыками продаж. И в целях тех, кто далек от понимания цен на рынке, придумали Bug Bounty, идеже огласили фиксированный прейскурант на описанные типы уязвимостей и поставили это держи поток. Конечно, мы все слышали о том, что Mozilla дает 3 000 $ следовать дыры в Firefox. А Google платит за уязвимости в своем браузере Chrom. Да это скорее исключение из правил и успешный PR-ход, чем распространенная практика. Так представители Zerodium нередко устраивают своеобразные «акции» про ИБ-исследователей, на время, повышая размер выплат по (по грибы) баги. Недавно компания предложила хакерам миллион долларов по (по грибы) уязвимости в Tor Browser. Сколько живет уязвимость
Знаменитый эксперт в соответствии с безопасности Чарли Миллер описал этот рынок в своей статье: “The Legitimate Vulnerability Market: The Secretive World of 0-Day Exploit Sales”. Спирт также основным пунктом отметил сложности в поисках покупателя и демонстрацию работоспособности 0-day уязвимости за исключением. Ant. с разглашения информации о ней. Крупные игроки рынка имеют на покупки багов собственные специальные программы. Такие как Zero Day Initiative (zerodayinitiative.com) через Tripping Point, Snosoft program (snosoft.blogspot.com) или iDefense Vulnerability Contributor Program. Многие уязвимости приставки не- теряют актуальности очень долго – это подтверждает исследование, опубликованное RAND Corporation подо названием «Zero Days, Thousands of Nights» в 2017-м году. Для того проведения этого анализа эксперты изучили более 200 уязвимостей нулевого дня и эксплоитов ради них. Оказалось, что уязвимости нулевого дня в среднем «живут» 6,9 лета, то есть 2521 день. При этом четверть уязвимостей сохраняют положение 0-day всего полтора года, тогда как еще четверть маловыгодный теряют актуальности даже спустя девять с половиной лет. Встретить хорошего покупателя дело кропотливое не меньше, чем копошиться сам баг. В конце концов, есть теневой рынок и различного рода форумы, идеже в достаточной анонимности можно продать информацию за хорошие копейка. Государственный бюджет на дыры
Не так давно и наше Пруссия проявило интерес к поискам багов, выдвинув свое предложение. Начальство РФ обещают платить хакерам за обнаруженные дыры. Родные палестины-мать приглашает «исследователей» поискать уязвимости в IT-системах. Эта обновка пришла к нам из плана мероприятий по информационной безопасности Программы цифровой экономики. Лакомиться даже бюджет до конца 2020 г. На денежные премии и призы, после найденные уязвимости, по плану отводится 500 млн рублей с бюджета и 300 млн рублей внебюджетных средств. Хоть у хакеров секретно и принято держаться подальше от государства, эта модель может в корне реконструировать роль хакеров в отечественном кибер-пространстве.

0
3.2 k
Написать отзыв

Оцените сайт