Грешки в бабите Купуване и продажба на уязвимости

купуване

купуване

Xakep # 239. Отворете и разгледайте

бабите

Xakep # 238. Забравен Android

купуване

Xakep # 237. Darknet 2018

бабите

грешки

Xakep # 235. Прераждане на експлоатационни китове

Съдържанието на статията

ИТ индустрията е много гъвкава. Доколкото можем, ние се опитваме да ви разкажем за най-интересните, необикновени и забавни прояви от него. Днешната история няма да бъде изключение - ще се съсредоточим върху пазара за покупка и продажба на уязвимост. Да, представете си, има такова нещо. Ако искате да знаете как работи, прочетете нататък.!

Лице на медала

Грешка, дупка, уязвимост, измама - о, тези прекрасни думи към сърцето на хакера! Оказва се обаче, че те са не само приятни за хакери, тестери и други като тях - все още има хора, които печелят много пари именно от тези дупки.

Първо, нека ви разкажа за правната страна на въпроса, тоест за официалния „бял“ пазар. Образувано е отдавна; това явление в никакъв случай не е ново. За да разберем защо е достатъчно да зададем въпросите: „Кога компютрите придобиха широка популярност и се превърнаха в масов феномен?“, „Колко отдавна се появиха такива понятия като софтуер и дупка?“ Почти по същото време като тези събития, пазар за намиране, купуване и продажба на уязвимости възникна съвсем естествено. Както знаете, търсенето създава предлагане.

Днес в този бизнес има много големи играчи. Кой дори се интересува от закупуване на уязвимости? Това са държавни агенции, доставчици на различни търговски инструменти, големи пентестери и консултантски компании, частни лица и много други.

Ако говорим за добре познати и вече утвърдени имена в тази област, тогава може би като примери могат да бъдат посочени такива компании като iDefense, SnoSoft и VUPEN.

За съжаление не е възможно да се посочат конкретни цени за различни дупки, тъй като цената тук се определя от комбинация от много фактори. Например, намерихте ли дупка в IE, колко струва? Цената може лесно да варира от 5000 до 250 000 долара, защото всичко влияе върху цената на грешка: колко широко разпространено е „течащо“ приложение, колко хора знаят за уязвимостта, колко трудно е било да се намери грешка. Не по-малко важни са и други нюанси, от които има десетки - например дали приложението е включено по подразбиране в ОС, дали е намерена грешка в сървърната част на приложението или в клиента, дали се изисква удостоверяване за използване дупката, дали защитните стени вършат добра работа за защита на уязвимия софтуер, ще ви е необходимо дали потребителят „помага“ за експлоата да работи и т.н. Много от тези точки са включени в стандартния „въпросник“ на компаниите за закупуване.

Така че нека се преструваме, че сте намерили грешка.

Къде да тичам с него? Вероятно ще ви разстроя, но по бърз начин да се отървете от дупката и да получите пари за това е малко вероятно да работи. Законно, така или иначе. Легалната продажба отнема средно от един до четири месеца, а понякога процесът се удължава за по-дълъг период.

Първо трябва да разберете колко струва вашата находка и на кого можете да я продадете изгодно. Факт е, че самите доставчици на софтуер рядко купуват грешки. Не, разбира се, вероятно сте чували, че Mozilla е готова да плати $ 3000 за грешки във Firefox, а Google се съгласява да раздели $ 3 133,70 за уязвимости в своя браузър Chrome (1337 е думата елит, написана от Leitspich). Но това е по-скоро изключение от правилото и PR ход, отколкото обичайна практика.

Тези, които сериозно се занимават с купуването на дупки, са изброени по-горе. Но и тук всичко не е толкова гладко, колкото изглежда. В крайна сметка често е невъзможно купувачът просто да вземе и качи цялата информация за грешката, особено ако грешката е нова, „обещаваща“ - съществува риск да остане без информация и без пари. Така се оказва, че дори правилното описване и представяне на вашата уязвимост, без да я раздавате с вътрешности, вече е цяла наука.

Основните играчи на пазара, които купуват уязвимости и експлойти, обикновено имат свои собствени специални програми за закупуване на бъгове, като инициативата за нулев ден на Tripping Point (zerodayinitiative.com), програмата Snosoft (snosoft.blogspot.com) или iDefense Vulnerability Contributor Program. Най-често подобни проекти използват схемата „първо грешка, после пари“. Тоест ще бъдете задължени да предоставите цялата информация на купувача преди сделката.