Žao mi je, ali mislim da u članku ili srodnim poveznicama nije bilo tvrdnje da znamo tko su kreatori. Ovo je ili slobodni kreator zlonamjernog softvera ili vjerojatnije, grupa povezana s nacionalnom državom koja prodaje njihovu robu. U svakom slučaju 5 različitih 0 dana u jednom paketu je podvig!LuDux je rekao:Pa zašto nismo procesuirali kreatore ovoga?
Kliknite za proširenje...
Prvi put sam čuo za Zygote64. Čini se kao dobar vektor napada.
Uredi: čini se da sam bio u krivu jer je Forbesov članak identificirao prodavatelja. Ovo predstavlja zanimljivo etičko pitanje. Je li tvrtka koja stvara "špijunski softver" i prodaje ga CIA-i/FBI-u, jesu li oni odgovorni? Ili obrambeni izvođač? Čak se i inokulozna tehnika može naviknuti na pogrešan način. Radim za pružatelja usluga u oblaku, naše je trenutno pravilo da svoju tehnologiju prodajemo zemljama koje imaju demokratske izbore. Nije savršeno, ali se čini kao razuman standard.
Cijela šema pojavljuje se na čijem je čelu Tal Dilian, izraelski poduzetnik koji je navodno vodio obavještajnu službu IDF-a Jedinica 81 već nekoliko godina. pusta
Jasno je da postoje kupci nacionalne države koji su više zainteresirani za špijuniranje nego za dosadnu 'brinu o vlastitoj sigurnosti' stranu stvari; ali pretpostavljam da bi DISA i razni strani analozi vjerojatno bili zainteresirani za kupnju zlonamjernog softvera, ako je cijena prava, jer je dobivanje uzoraka na taj način mnogo sigurnije nego nadati se da ćete ih prepoznati kada ih protivnik pokuša upotrijebiti na vas; i vjerojatno brže i pouzdanije od nade da ćete sami otkriti ranjivosti.
Za napade koji ciljaju dovoljno popularne sustave čak i dobavljača ili razne tvrtke za kibernetičku sigurnost u privatnom sektoru potencijalno bi bili na tržištu iz istih razloga: ružniji i manje praktični od nagrađivanja buba bijelom bojom šeširi; ali ipak nudi određene prednosti u pogledu sigurnosti i pouzdanosti u odnosu na samo se nadajući da će timska obrana samostalno otkriti iste pothvate.
Jesu li cijene stvarno visoke? Provjeravaju li namjerno kupce i naglašavaju li prodaju ljudima s relativno slabom internom stručnošću i/ili model prijetnje snažno fokusiran na ono što mogu izgubiti ako budu hakirani, a ne na ono što riskiraju ostavljajući svoje neprijatelje nehakiran? Pokušavaju li to zadržati 'kao uslugu' i trude li se stvarni alati za napad izvan ruku kupaca, samo im daju rezultate?
Sve su to stvarno dobra pitanja i iako ne mogu ponuditi ništa konkretno, mogu dati smjernice za neka od njih.fuzzyfuzzyfungus je rekao:Zanimalo bi me kako prodavači ovakvih stvari postupaju s provjerom kupaca. Ne iz perspektive osiguravanja da prodaju samo 'dobrim momcima'; jer nemam razloga vjerovati da im je do toga stalo; ali iz perspektive pokušaja da se osigura da zainteresirane strane imaju na umu isključivo uvredljive svrhe i da će se suzdržati od krajnje neopreznih upotreba koje će biti praktički sigurno da će se tehnike koje se koriste otkriti i spaliti (barem za buduće uređaje, prethodni katalog onih koji se nikada neće ažurirati vjerojatno neće biti pogođen); ali eksploatacije za sustave s puno neugodnih javnih i nepopravljenih ranjivosti vjerojatno vrijede puno manje).Jasno je da postoje kupci nacionalne države koji su više zainteresirani za špijuniranje nego za dosadnu 'brinu o vlastitoj sigurnosti' stranu stvari; ali pretpostavljam da bi DISA i razni strani analozi vjerojatno bili zainteresirani za kupnju zlonamjernog softvera, ako je cijena prava, jer je dobivanje uzoraka na taj način mnogo sigurnije nego nadati se da ćete ih prepoznati kada ih protivnik pokuša upotrijebiti na vas; i vjerojatno brže i pouzdanije od nade da ćete sami otkriti ranjivosti.
Za napade koji ciljaju dovoljno popularne sustave čak i dobavljača ili razne tvrtke za kibernetičku sigurnost u privatnom sektoru potencijalno bi bili na tržištu iz istih razloga: ružniji i manje praktični od nagrađivanja buba bijelom bojom šeširi; ali ipak nudi određene prednosti u pogledu sigurnosti i pouzdanosti u odnosu na samo se nadajući da će timska obrana samostalno otkriti iste pothvate.
Jesu li cijene stvarno visoke? Provjeravaju li namjerno kupce i naglašavaju li prodaju ljudima s relativno slabom internom stručnošću i/ili model prijetnje snažno fokusiran na ono što mogu izgubiti ako budu hakirani, a ne na ono što riskiraju ostavljajući svoje neprijatelje nehakiran? Pokušavaju li to zadržati 'kao uslugu' i trude li se stvarni alati za napad izvan ruku kupaca, samo im daju rezultate?
Kliknite za proširenje...
Čak i prilično male/siromašne nacionalne države imaju neki proračun. Nadalje, oni citirani u članku imaju poseban interes za domaći nadzor i ugnjetavanje, dakle proračuni za te aktivnosti vjerojatno su daleko, daleko veći nego u, recimo, SAD-u (proporcionalno, na a minimum). To vjerojatno znači desetke do stotine milijuna dolara ukupno godišnje, što se zbraja prilično brzo čak iu razdoblju od 3-5 godina. (Pogledajte: NSO Group za ideje o potencijalu prihoda.)
Usporedite to s isplatama nagrada za bugove. Dok se nedavno (recimo u zadnjih godinu ili dvije) stvari polako popravljaju za glavne dobavljače OS-a za pametne telefone, oni povijesno nisu bili u mogućnosti doseći tu razinu u smislu isplata (https://portswigger.net/daily-swig/million-dollar-bug-bounties-the-rise-of-record-breaking-payouts). Zapravo, mogu se prisjetiti internetskih rasprava u posljednjih godinu ili nešto više o tome da je Apple prilično škrt u pogledu svog programa nagrađivanja za bugove... detalji mi bježe, ali nešto o velikoj eksploataciji u oblaku koja je plaćena samo 250 tisuća dolara, ali je vjerojatno vrijedila 10 puta više na crnom tržištu. Ove vrste neusklađene ekonomije su ono što stvara takva tržišta, a programi za dodjelu grešaka navodno postoje uglavnom kako bi ubili ta tržišta i zadržali povjerenje korisnika u platformu.
TLDR - Vjerojatno je vrijedan truda da dobijete više od 100 milijuna dolara prihoda u usporedbi s povijesnom gornjom granicom od oko 1 milijuna dolara nagrade za bugove (obično više od 250 tisuća dolara). Stvari se mijenjaju, ali presporo IMO.
jamesb2147 je rekao:Sve su to stvarno dobra pitanja i iako ne mogu ponuditi ništa konkretno, mogu dati smjernice za neka od njih.Čak i prilično male/siromašne nacionalne države imaju neki proračun. Nadalje, oni citirani u članku imaju poseban interes za domaći nadzor i ugnjetavanje, dakle proračuni za te aktivnosti vjerojatno su daleko, daleko veći nego u, recimo, SAD-u (proporcionalno, na a minimum). To vjerojatno znači desetke do stotine milijuna dolara ukupno godišnje, što se zbraja prilično brzo čak iu razdoblju od 3-5 godina. (Pogledajte: NSO Group za ideje o potencijalu prihoda.)
Usporedite to s isplatama nagrada za bugove. Dok se nedavno (recimo u zadnjih godinu ili dvije) stvari polako popravljaju za glavne dobavljače OS-a za pametne telefone, oni povijesno nisu bili u mogućnosti doseći tu razinu u smislu isplata (https://portswigger.net/daily-swig/million-dollar-bug-bounties-the-rise-of-record-breaking-payouts). Zapravo, mogu se prisjetiti internetskih rasprava u posljednjih godinu ili nešto više o tome da je Apple prilično škrt u pogledu svog programa nagrađivanja za bugove... detalji mi bježe, ali nešto o velikoj eksploataciji u oblaku koja je plaćena samo 250 tisuća dolara, ali je vjerojatno vrijedila 10 puta više na crnom tržištu. Ove vrste neusklađene ekonomije su ono što stvara takva tržišta, a programi za dodjelu grešaka navodno postoje uglavnom kako bi ubili ta tržišta i zadržali povjerenje korisnika u platformu.
TLDR - Vjerojatno je vrijedan truda da dobijete više od 100 milijuna dolara prihoda u usporedbi s povijesnom gornjom granicom od oko 1 milijuna dolara nagrade za bugove (obično više od 250 tisuća dolara). Stvari se mijenjaju, ali presporo IMO.
Kliknite za proširenje...
Nisam toliko očekivao da će se prodavači zlonamjernog softvera okrenuti od zločinačkog života u korist nagrada za bugove, kao što vidite, to bi bio znatan gubitak profita.
Ono što me više zanima je kako izbjegavaju prodaju kupcima koji su zainteresirani jer to žele neutralizirati iskorištavanje i gledati na kupnju zlonamjernog softvera za analizu kao na program nagrađivanja programskih pogrešaka za ljude koji to ne čine igraj lijepo.
Zasigurno postoji spremno tržište čak i među prilično siromašnim i rudimentarnim obavještajnim službama koje imaju neke dosadne disidente koje treba potisnuti; Pretpostavljam da bi sama ta činjenica mnogo bogatije i bolje opremljene sigurnosne aparate učinila nervoznima; budući da u prosjeku svi koriste otprilike isti komercijalno dostupan softver: ja ne očekujte da DISA-u ili slične zapravo toliko zanima sudbina oporbenog aktivista u Madagaskar; ali vjerojatno nisu baš sretni zbog činjenice da su alati koji bi radili i na kongresniku koji preferira android nadohvat ruke obavještajnih službi Madagaskara; što bi povećalo rizik da će biti otvoreni za plaćanje bez obzira na cijenu za nabavu zlonamjernog softvera kako bi ga analizirali jer imaju više za izgubiti nego što mogu dobiti od toga što je široko dostupno.
Ovo nije ništa manje od digitalnog terorizma i tako ga treba tretirati. Pojedinci koji hakiraju korporativne sustave kazneno se gone i zatvaraju; korporacije koje hakiraju sustave pojedinaca tretiraju se kao legitimni poslovi. Samo još jedan primjer bizarnog stanja stvari u svijetu gdje tvrtke imaju sva prava pojedinaca, ali malo odgovornosti.
Zašto ovi podvigi uvijek završe s kodnim nazivima koji zvuče grubo? Čini se da to samo daje skrivenim kreatorima dodatna prava za hvalisanje u njihovim krugovima kriminalnog podzemlja. Zašto ne bismo zgrabili ono malo kontrole koju imamo i dali im imena poput "Fluffy Bunny" ili "Cuddly-Wuddly"?
To su trgovci oružjem, moraju postojati zakoni koji će ih tretirati kao takve. Možda nakon novog ili dva rata?
Pitam se suočavaju li se tvrtke poput Applea i Googlea s pritiskom vlada da ne rješavaju probleme. „Imaš dobru tvrtku. Bilo bi žalosno da svim vašim zaposlenicima polome noge prije nego što im upucaju jetru."
Pas Ralf je rekao:Pitam se suočavaju li se tvrtke poput Applea i Googlea s pritiskom vlada da ne rješavaju probleme. „Imaš dobru tvrtku. Bilo bi žalosno da svim vašim zaposlenicima polome noge prije nego što im upucaju jetru."
Kliknite za proširenje...
Ovo nije mafijaških razmjera: ako bjeloruske vlasti pokušaju to navući na kompaniju vrijednu više trilijuna dolara, odlaze američkoj vladi i prijavljuju terorističku prijetnju. Čak bi i američka vlada, koja ima zakonsku nadležnost, teško mogla to učiniti jer je nevjerojatno eksplozivna velika vijest od koje se većina ljudi, čak i u vladi, gnuša i koju bi svi morali držati tajna. To nije funkcioniralo više od nekoliko godina na Bushovom programu mučenja ili Zvjezdanom vjetru i oni su bili vjerojatnije branjivi kao nužnosti nacionalne sigurnosti.
Ono što se događa je da oni koriste svoje zakonske ovlasti i Kina ode Appleu i kaže "želiš li onemogućiti end to end enkripciju na iOS-u uređaja u Kini ili otići s tržišta od milijarde ljudi?”, ili Ujedinjeno Kraljevstvo ode Googleu i kaže “želiš li da te se tereti za pomoć djetetu zlostavljači?" To može imati loše ishode – pitajte američke muslimane koliko vjeruju procesu izdavanja naloga – ali puno je više vidljivosti u postupak.
Molim te, nemoj me primijetiti Senpai.
Razumijem da je "[to] iskorištavano 50 dana" izjava specifična za verziju Androida, budući da sigurnosni istraživači nemaju uzorak verzije iOS-a. Ali mislim da bi bilo bolje da naslov bude tehnički netočan, nego riskirati da korisnike iOS-a uljuljkamo u lažni osjećaj sigurnosti.
(moguće je da je ovo A/B testirani naslov. Što se mene tiče, naslov glasi "Otkriven unutarnji rad "Predatora", zlonamjernog softvera za Android koji je iskorištavao 50 dana")
Sve što znam je vrlo jednostavan način za sve te ološ neregulirane tvrtke da se upuste u poroke. Kada ovaj zlonamjerni softver dođe na bilo koji telefon obitelji zaposlenika razine "C" i počne slikati vašu ženu ili snimati zvuk kad tučeš svoju ljubavnicu kad svojoj ženi kažeš da radiš do kasno ili da ti djeca rade vrijeme za igru. I pretpostavljam da nema propisa ili zakona koji bi se koristili protiv bilo koga. Oko za oko kažem, Jebite ih sve.
Etički? Naravno, ako znate ili biste trebali znati kako će se koristiti i svejedno im ga prodati, vi ste dio toga.Gandoron je rekao:Žao mi je, ali mislim da u članku ili srodnim poveznicama nije bilo tvrdnje da znamo tko su kreatori. Ovo je ili slobodni kreator zlonamjernog softvera ili vjerojatnije, grupa povezana s nacionalnom državom koja prodaje njihovu robu. U svakom slučaju 5 različitih 0 dana u jednom paketu je podvig!Prvi put sam čuo za Zygote64. Čini se kao dobar vektor napada.
Uredi: čini se da sam bio u krivu jer je Forbesov članak identificirao prodavatelja. Ovo predstavlja zanimljivo etičko pitanje. Je li tvrtka koja stvara "špijunski softver" i prodaje ga CIA-i/FBI-u, jesu li oni odgovorni? Ili obrambeni izvođač? Čak se i inokulozna tehnika može naviknuti na pogrešan način. Radim za pružatelja usluga u oblaku, naše je trenutno pravilo da svoju tehnologiju prodajemo zemljama koje imaju demokratske izbore. Nije savršeno, ali se čini kao razuman standard.
Kliknite za proširenje...
Legalno? Teže pitanje. Za američku tvrtku postoje ograničenja za izvoz ovakvih stvari, pa bi odgovor bio da. Te tvrtke nemaju sjedište u SAD-u, ali moguće je da ih možete tužiti američkim sudovima ako dokažete štetu. Ipak sretno u provođenju svih odluka. Postoji velika vjerojatnost da im je dopušteno djelovati u svojim matičnim zemljama.
Malo izvan teme, ali pitam se kako definirati demokratske izbore.Gandoron je rekao:Žao mi je, ali mislim da u članku ili srodnim poveznicama nije bilo tvrdnje da znamo tko su kreatori. Ovo je ili slobodni kreator zlonamjernog softvera ili vjerojatnije, grupa povezana s nacionalnom državom koja prodaje njihovu robu. U svakom slučaju 5 različitih 0 dana u jednom paketu je podvig!Prvi put sam čuo za Zygote64. Čini se kao dobar vektor napada.
Uredi: čini se da sam bio u krivu jer je Forbesov članak identificirao prodavatelja. Ovo predstavlja zanimljivo etičko pitanje. Je li tvrtka koja stvara "špijunski softver" i prodaje ga CIA-i/FBI-u, jesu li oni odgovorni? Ili obrambeni izvođač? Čak se i inokulozna tehnika može naviknuti na pogrešan način. Radim za pružatelja usluga u oblaku, naše je trenutno pravilo da svoju tehnologiju prodajemo zemljama koje imaju demokratske izbore. Nije savršeno, ali se čini kao razuman standard.
Kliknite za proširenje...
Tehnički gledano, Rusija je demokratski glasala za Putina, prošla nekoliko puta (ili njegovog prijatelja kad je postao premijer), i vjerojatno će nastaviti birati njega ili njegovog prijatelja sve dok ne umre ili odluči odstupiti.
Mnoge druge zemlje također imaju takve "izbore".
Ne vidim smisla spominjati iOS kada ni vaš članak ni povezana stranica bloga ne govore ništa.
Ili su možda neki od njih spremni previdjeti političke ili vjerske razlike ako ima dovoljno novca na stolu?Kvx je rekao:Prije ne tako mnogo godina apsolutno ne bih očekivao da će izraelska tvrtka poslovati s nekim od tih zemalja.Pretpostavljam da je to zanimljiv uvid u to kako su se izraelsko/arapski odnosi s inozemstvom dramatično promijenili u posljednjih nekoliko desetljeća.
Kliknite za proširenje...
Još ozbiljnije, pitam se ne podliježu li ovi "alati" nekoj vrsti kontrole izvoza, ali ne mogu se sjetiti je li to bio slučaj sa špijunskim softverom NSO-a.
Predator je bio u vijestima u Grčkoj kao i prije godinu dana kada je europski parlament upozorio eurozastupnika da je rutinskom provjerom njegovog telefona utvrđeno da ga prati predator. Ispostavilo se da su grčki obavještajci rutinski špijunirali oporbene vođe, visoke vojne časnike itd. Izazvao priličnu pometnju. Zanimljivost: Predator je legitimno kupila država.