neprihlásený Piatok, 27. januára 2023, dnes má meniny Bohuš
Americká vláda je najväčším nákupcom exploitov, tvrdí Reuters

DSL.sk, 11.5.2013


Americká vláda je najväčším nákupcom exploitov a informácií o chybách v softvéri, použiteľných na infikovanie počítačov a prekonávanie bezpečnostných ochrán.

Vo svojej rozsiahlej správe to na základe informácií viacerých zdrojov z prostredia bezpečnostných spoločností, dodávateľov pre americkú vládu aj z prostredia exekutívy tvrdí agentúra Reuters.

Predmetom nákupu sú samozrejme najmä 0-day chyby a exploity, o ktorých zatiaľ tvorca softvéru nevie.

Vláda nakupuje exploity a informácie buď priamo cez svoje tajné služby a agentúry alebo cez dodávateľov ministerstva obrany. Podľa Reuters na nákup exploitov ročne míňa desiatky miliónov dolárov a exploity takmer výlučne v súčasnosti využíva na útočné ciele a nie na obranu.

Viacerí oslovení experti túto stratégiu kritizujú, keď informácie o chybách by sa mali podľa nich používať aj na lepšie zabezpečenie amerických sietí a spoločností. Aj pri exkluzívnom nákupe informácií o chybe totiž táto môže byť zároveň nezávisle objavená iným expertami, respektíve ciele útoku USA môžu chybu identifikovať po analýze útokov proti nim.

To sa podľa Reuters stalo už minimálne v prípade škodlivého kódu Duqu určeného pre útoky na Irán, keď hackeri získali informácie o zneužívanej chyby jeho analyzovaním a následne tieto informácie využili na útoky samozrejme aj na ciele v USA.

USA oficiálne ofenzívne počítačové útoky nepriznávajú, v júni minulého roka ale boli novinami The New York Times zverejnené presvedčivé informácie o vývoji a použití červa Stuxnet americkou vládou v spolupráci s Izraelom. Červ infikoval počítače riadiace centrifúgy v továrni na obohacovanie uránu v iránskom meste Natanz a postupne fyzicky ničil niektoré ich časti tým, že ich roztáčal príliš vysokými rýchlosťami.

Aktuálne informácie Reuters zároveň naznačovala aj minuloročná informácia magazínu Forbes, podľa ktorého dodávateľ vlády Spojených štátov amerických kúpil exploit a informácie o novej bezpečnostnej chybe v operačnom systéme iOS za až 250 tisíc dolárov.

Podľa Reuters je štartovacia cena za 0-day chyby 50 tisíc dolárov, pričom cena závisí od viacerých faktorov. Podľa minuloročných informácií Forbes vychádzajúcich z informácií spotredkovateľa podobných obchodov medzi autormi exploitov a nákupcami boli v minulom roku najhodnotnejšie exploity a chyby v iOS, ktorých cena sa pohybuje od 100 do 250 tisíc dolárov. Za exploity proti Chrome a Internet Exploreru sa platí od 80 do 200 tisíc, vo Firefoxe a Safari od 60 do 150 tisíc, vo Windows od 60 do 120 tisíc.

Za exploit účinný proti Wordu sa platilo v minulom roku 50 až 100 tisíc, vo Flash a Java pluginoch od 40 do 100 tisíc, v Androide od 30 do 60 tisíc, v Mac OS X od 20 do 50 tisíc a v Adobe Readeri od 5 do 30 tisíc dolárov.

Týmto komerčným cenám sa nevyrovnávajú odmeny za informácie o chybách ponúkané samotnými tvorcami softvéru ani odmeny ponúkané bezpečnostnými spoločnosťami. Viaceré významné softvérové spoločnosti vrátane Microsoftu, Apple a Adobe za informácie o vážnych chybách v ich produktoch neplatia, ostatné platia štandardné odmeny vo výške maximálne niekoľkých tisíc dolárov.

Bezpečnostné spoločnosti vyplácajú za exkluzívne informácie o chybách, ktoré následne nahlasujú tvorcom softvéru, poskytujú vo svojich bezpečnostných produktoch ako prví ochranu proti exploitom útočiacim na tieto chyby a budujú si tým reputáciu a značku, podľa minuloročných informácií rádovo desať tisíc dolárov.


      Zdieľaj na Twitteri



Najnovšie články:

Mac Pro s ARM nemá mať ani upgradovateľnú grafiku
Perseverance dokončuje ukladanie skúmaviek so vzorkami na povrch Marsu
Vydaný Wine 8.0 umožňujúci Windows softvér na Linuxe
U nového najlacnejšieho MacBooku Pro sa výrazne znížili rýchlosti SSD
V Bratislave zasahovali hasiči po výbuchu nabíjačky pre kolobežky
NASA vzdala pokusy o roztvorenie panelov na sonde Lucy, misiu to nemá ohroziť
Nový MacBook Pro s ARM má reálnu výdrž takmer 27 hodín
Mestá a obce na protest proti neriešeniu cien energií vypnú verejné osvetlenie
Telekom pokryl 5G sieťou ďalšie mestá, úroveň pokrytia stále neuvádza
Webbov teleskop objavil komplexnejšie molekuly už pred vznikom hviezd a planét, možno alkohol


Diskusia:
                               
 

exploit.
Odpovedať Známka: -5.4 Hodnotiť:
 

predam 2ks exploitu. su to exploity na exploity.
Odpovedať Známka: 4.7 Hodnotiť:
 

"To sa podľa Reuters stalo už minimálne v prípade škodlivého kódu Duqu určeného pre útoky na Irán, keď hackeri získali informácie o zneužívanej chyby jeho analyzovaním a následne tieto informácie využili na útoky samozrejme aj na ciele v USA." .. ehm.... ehm...
Odpovedať Známka: -5.0 Hodnotiť:
 

ty vado to su ceny... asi sa dam radsej na vyvoj exploitov... len musim pozriet najprv na wikipedii co to vlastne je
Odpovedať Známka: 9.2 Hodnotiť:
 

Tomu sa hovorí začínať od nuly ;-)
Odpovedať Známka: 9.5 Hodnotiť:
 

to je ten 0-day exploit ;-))
Odpovedať Známka: 9.7 Hodnotiť:
 

ako by povedal dusko cinkota:

zacina od pika
Odpovedať Známka: 7.9 Hodnotiť:
 

Cisto teoreticky:
Povedzme, ze sa mi podari objavit zranitelnost, ktora zatial v danom softe (browser, os, atd.) este nebola objavena. Ako by som sa mohol napojit na spravnych ludi, pre ktorych ma moje zistenie cenu? Ma niekto predstavu, ako sa da preniknut do tychto kruhov?
Odpovedať Známka: 5.0 Hodnotiť:
 

ano ale od zacina od "piky"
Odpovedať Známka: -6.0 Hodnotiť:
 

Nech sa paki.
Odpovedať Známka: 7.8 Hodnotiť:
 

od piči začína každý koho nevyklonovali mimozemšťania
Odpovedať Známka: 5.4 Hodnotiť:
 

Ked sa nad tym clovek trochu zamysli, pride na to ze to takto musi fungovat. Proste zakony trhu, ponuka a dopyt. Ked spolocnosti zvysia odmeny za nahlasovanie exploitov, stupnu ceny aj v tejto "komercnej" sfere a nic sa nestane. Akurat to danovych poplatnikov bude viac stat :)

A to, ze za kodmi stuxnetu, duqu, mahdi, flamu a podobnych je USA (prip. spolu s Izraelom) je verejnym tajomstvom.
Odpovedať Známka: 7.3 Hodnotiť:
 

keby nakupovala exploity slovenska vlada, tak by to stalo o 30-60% viac a museli by sa nakoniec vratit euro fondy za pochybenie pri obstaravani. samotne exploity by boli 5-10 rokov stare alebo na neexistujuce programy.
Odpovedať Známka: 8.8 Hodnotiť:
 

na Slovensku je jeden špeciálny exploit - Róbert Coca-Cola Fico
Odpovedať Známka: 5.0 Hodnotiť:
 

posielam ficploit
Odpovedať Známka: 4.3 Hodnotiť:
 

predajme ho amíkom
aj s coca-colou
za 1$
Odpovedať Známka: 2.3 Hodnotiť:
 

Problém je v tom že takýchto ľudských exploitov s absenciou morálnych hodnôt je na Slovensku a všeobecne v celej spoločnosti oveľa viac.A takéto exploity si tiež niekto kupuje,resp. je po nich dopyt.
Odpovedať Známka: 7.1 Hodnotiť:
 

odporúčam ti tak dve tablety denne pred jedlom, najlepšie preháňadlo
Odpovedať Známka: -5.8 Hodnotiť:
 

Ty prestan chlastat lebo uz nerozoznas realitu od kecov co ti vodca tlaci do hlavy.
Odpovedať Známka: 4.0 Hodnotiť:
 

Bohuzial toho si uz kupila Ja & Ty
Odpovedať Známka: 8.0 Hodnotiť:
 

O tom sme vedeli uz davno. To, ze ju predavaju najvyssej cene neznamena, ze ju nepredaju aj dalsim.
Odpovedať Známka: 8.2 Hodnotiť:
 

Aj ja posielam jednu pixlu epoxidu americkej vlade
Odpovedať Známka: -1.4 Hodnotiť:

Pridať komentár