Hacking and more...
HaCkinG CulT
|
Lista Forumurilor Pe Tematici
|
Hacking and more... | Reguli | Inregistrare | Login
POZE HACKING AND MORE...
Nu sunteti logat.
|
Nou pe simpatie:
Kalifa din Ialomita
 | Femeie
23 ani
Ialomita
cauta Barbat
24 - 65 ani |
|
deuSdeTe
Little Kevin
 Inregistrat: acum 18 ani
Postari: 77
|
|
Vulnerabilitate Windows Vista, pentru 50.000 de dolari pe un forum din România
Material furnizat de GECAD NET, 09 februarie 2007 16:26
Compania japoneză de securitate Trend Micro a anunţat descoperirea în decembrie 2006 a unei vulnerabilităţi Windows Vista oferite spre vânzare pe un forum din România pentru 50.000 de dolari.
Experţii în securitate apreciază că preţul este plauzibil, dat fiind că anunţurile postate de hackeri pe site-uri publice sau pe forumuri private underground sunt destul de frecvente, fiind oferite spre vânzare vulnerabilităţile descoperite şi codurile de exploatare ale acestora.
Microsoft nu este singura ţintă a „specialiştilor independenţi” în securitate. Cercetătorii de securitate şi hackerii caută vulnerabilităţi în toate aplicaţiile software folosite la scară largă, de la bazele de date Oracle până la sistemele de operare pentru Macintosh. Cu cât un sistem de operare sau program este mai popular, cu atât mai mare va fi preţul unei aplicaţii de exploatare a unei vulnerabilităţi. Cele mai apreciate sunt codurile de exploatare a vulnerabilităţilor „zero-day”, care se răspândesc cu uşurinţă pentru că metodele de protecţie la momentul lansării sunt încă necunoscute.
Producătorii de software au solicitat cercetătorilor de securitate să îi alerteze în cazul în care descoperă bug-uri în software pentru a putea lansa fix-uri sau patch-uri pentru protejarea utilizatorilor. Totuşi, cercetătorii sunt nemulţumiţi pentru că timpul şi eforturile lor nu sunt suficient apreciate.
„Pentru a găsi o vulnerabilitate, de obicei trebuie să munceşti enorm”, apreciază Evgeny Legerov, fondatorul companiei de securitate Gleg din Moscova. „Dacă urmezi procedurile a ceea ce numesc ei «dezvăluire responsabilă», în cele mai multe cazuri primeşti un simplu «mulţumesc» sau nimic.”
Vânzarea vulnerabilităţilor
Compania Gleg vinde rezultatele cercetărilor de securitate efectuate la preţuri ce depăşesc uneori 10.000 de dolari către corporaţii din întreaga lume. Evgeny Legerov a declarat că a refuzat în repetate rânduri cererile unor criminali care îi ofereau sume impresionante pentru bug-uri pe care le-ar fi putut folosi pentru a răspândi aplicaţii nocive.
Folosirea unor astfel de informaţii pentru a ataca PC-uri sau pentru a ajuta alte persoane în acest scop este ilegală, dar nu este ilegal să descoperi şi să vinzi vulnerabilităţi. Preţurile acestor bug-uri software variază de la câteva sute până la zeci de mii de dolari.
Totuşi, în viitorul apropiat, preţurile vulnerabilităţilor Vista vor fi în continuare mai mici decât cele ale programelor şi sistemelor de operare deja adoptate de publicul larg, cum ar fi Windows XP.
„Sunt aspecte de interes deosebit pentru noi”, a declarat Mark Miller, director al Microsoft Security Response Center, cu referire la „bazarul” online de vulnerabilităţi software. „Din cauza tranzacţiilor underground cu vulnerabilităţi, producătorii de software reuşesc cu greu să dezvolte la timp aplicaţii corectoare pentru a proteja utilizatorii”.
Cercetători - producători, un armistiţiu fragil
În anii '90, producătorii de software şi cercetătorii independenţi de securitate dezbăteau metodele folosite pentru divulgarea vulnerabilităţilor.
Producătorii de software au argumentat că dezvăluirea publică a acestor vulnerabilităţi oferea atacatorilor informaţii detaliate pentru exploatarea lor prin viruşi sau programe nocive. Cercetătorii de securitate au acuzat marile companii de software că doresc să-şi ascundă greşelile şi că dezvăluirea lor publică permite companiilor şi utilizatorilor individuali să-şi protejeze sistemele.
Cele două părţi au ajuns în cele din urmă la un compromis fragil. Cercetătorii de securitate urmau să informeze producătorii de software privind vulnerabilităţile descoperite iar în măsura în care producătorii se comportau responsabil, aveau să aştepte lansarea unui patch oficial înainte de a publica fragmentele de cod care ar fi putut fi folosite de atacatori. Producătorii de software aveau să recunoască meritele cercetătorilor cu privire la vulnerabilităţile descoperite. Acest armistiţiu a funcţionat atâta vreme cât cercetătorii erau motivaţi de dorinţa de a le fi recunoscute meritele şi de a contribui la îmbunătăţirea securităţii.
Totuşi, în ultimii ani, cercetătorii dornici de „glorie eternă” au dispărut, apreciază David Perry, director de instruire globală la Trend Micro. „Există o diferenţă între cei care desfăşoară astfel de activităţi pentru a-şi câştiga existenţa şi cei care o fac din pasiune”.
Primii paşi
În 2002, iDefense Labs a devenit prima companie care plătea pentru vulnerabilităţile software, la preţuri ce ajungeau la câteva sute de dolari. Această iniţiativă s-a derulat discret timp de câţiva ani, după care a trebuit să răspundă unor acuzaţii privind ordinea în care erau informaţi producătorii de software, clienţii acestora şi publicul larg.
„Este necesar să asigurăm un timp suficient producătorilor pentru a dezvolta aplicaţiile corectoare şi apoi le aducem la cunoştinţa publicului larg”, a declarat Jim Melnick, director pentru ameninţări de securitate la iDefense.
În 2005, TippingPoint, o divizie a gigantului 3Com, s-a alăturat iDefense pe noua piaţă a vulnerabilităţilor de securitate cu programul „Zero-Day Initiative”, care a tranzacţionat 82 de vulnerabilităţi software în cursul anului trecut.
iDefense a declarat că cercetătorii independenţi de securitate au descoperit 305 de vulnerabilităţi software în 2006, in creştere faţă de cele 180 din 2005, pentru care au fost achitate sume ce variau între 1.000 şi 10.000 de dolari, in funcţie de gravitatea fiecăreia.
|
|
| pus acum 17 ani |
|
G-FORCE
Grand Master
 Inregistrat: acum 17 ani
Postari: 323
|
|
nu stiu de ce dar nu ma mira.
|
|
| pus acum 17 ani |
|
