Iskanje ranljivosti postaja profitabilno

Want create site? With Free visual composer you can do it easy.

V avgustu smo doživeli pravo malo dražbo objav poznanih in nepoznanih podjetij, glede iskanja ranljivosti na znanih platformah.

Apple je tako po dolgem obotavljanju tudi sam objavil program »Bug Bounty«. Gre za program, ki ga zadnje čase uvajajo glavni proizvajalci programske opreme. Znotraj njega nudijo posebne nagrade za tiste, ki bi na njihovi opremi odkrili resne varnostne pomanjkljivosti.

Apple seveda ne bi bil Apple, če ne bi ta program objavil na svojstven način. Ponudil je 200.000 USD nagrade tistemu, ki na njihovem zadnjem iOS sistemu najde resno varnostno pomanjkljivost.

Apple je bil vedno (upravičeno) znan kot proizvajalec varnih platform. Kljub temu, pa je pred kratkim doživel dva večja šoka, ki sta zamajala nezlomljivost programske opreme:

Apple je tako po dolgem obotavljanju tudi sam objavil program »Bug Bounty«. Gre za program, ki ga zadnje čase uvajajo glavni proizvajalci programske opreme. Znotraj njega nudijo posebne nagrade za tiste, ki bi na njihovi opremi odkrili resne varnostne pomanjkljivosti.

Apple seveda ne bi bil Apple, če ne bi ta program objavil na svojstven način. Ponudil je 200.000 USD nagrade tistemu, ki na njihovem zadnjem iOS sistemu najde resno varnostno pomanjkljivost.

Apple je bil vedno (upravičeno) znan kot proizvajalec varnih platform. Kljub temu, pa je pred kratkim doživel dva večja šoka, ki sta zamajala nezlomljivost programske opreme:

  • odkrita pomanjkljivost v modulu za delo s fotografijami (več o tem v sklopu novic »Najpomembnejših odkritih ranljivosti avgusta«),
  • FBI »afera«, kjer je FBI od Appla zahteval pomoč pri vdiranju v telefon terorista, ki je med policijsko akcijo umrl. Apple je to pomoč zavrnil, vendar je FBI-ju s pomočjo zunanjih hekerjev vseeno uspelo vdreti v telefon in si pridobiti potebne podatke.

Pomembno pri tej novici je:

  • praktično ni programske opreme, ki bi bila nezlomljiva in počasi se tega zavedajo tudi proizvajalci,
  • škoda, ki lahko nastane z vdorom v sistem, je lahko zelo visoka. Zato podjetja in proizvajalci ponujajo vedno več denarja za preprečevanje podobnih situacij.

Sicer pa ima novica nadaljevanje.

Nekaj dni po objavi Appla, se je pojavilo podjetje Exodus, ki je Applovo nagrado podvojilo. Zunanjim hekerjem je ponudilo 500.000 USD nagrade za odkritje iOS pomanjkljivosti.

Podjetje Exodus je znano po tem, da se ukvarja s »kupovanjem« novo odkritih ranljivosti, ki jih potem dobesedno trži po svetu (ne nujno nazaj proizvajalcem…). Tako ima podjetje Exodus dobesedno objavljen cenik za novo odkrite pomanjkljivosti na najbolj znanih platformah:

  • iOS – 500.000 USD
  • Google Chrome – 150.000 USD
  • Microsoft EDGE – 125.000 USD
  • Firefox – 80.000 USD
  • Adobe reader – 60.000 USD

Taki »ceniki« nam dajo občutek, koliko so odkrite ranljivosti na črnih trgih vredne in kaj vse lahko napadalci z novo odkrito ranljivostjo na popularni platformi naredijo.

Več o tej temi si lahko preberete na:

http://thehackernews.com/2016/08/apple-bug-bounty-program.html

http://thehackernews.com/2016/08/zero-day-exploit-buy.html

 


Več vsebin s področja varnosti

Varnostne storitve

Več vsebin s področja varnosti

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]