Założona niedawno firma Zerodium opublikowała ofertę zakupu eksploita na najnowszą wersję systemu iOS. Za kod, który ominie wszystkie mechanizmy bezpieczeństwa Apple, firma zamierza zapłacić milion dolarów. Kod powinien spełniać następujące warunki:
- atak musi nastąpić poprzez odwiedziny na stronie WWW lub otrzymanie wiadomości SMS/MMS,
- atak musi być przeprowadzony bez interakcji z użytkownikiem,
- wynikiem ataku powinien być trwały jailbreak, umożliwiający instalowanie dowolnych aplikacji.
Aby otrzymać obiecaną kwotę trzeba dostarczyć pełną, działającą wersję eksploita wraz z kodem źródłowym oraz opisem jego mechanizmów. Wykorzystane błędy muszą być wcześniej nieznane, niepublikowane, niezgłoszone autorom systemu oraz przekazane na wyłączność kupującemu.
Choć Zerodium jest nowym graczem na rynku błędów 0day, to stoi za nią jeden z najbardziej doświadczonych zawodników, Chaouki Bekrar, założyciel firmy Vupen. Vupen zasłynął produkcją własnych eksploitów (zatrudniał spory zespół badaczy) oraz ich odsprzedażą rządom całego świata. W związku z rosnącą i restrykcyjną regulacją rynku eksploitów w Europie Bekrar zamknął niedawno francuski Vupen i otworzył Zerodium w USA. Zamiast produkować eksploity po prostu je skupuje a jego najnowsza oferta pokazuje, ile wart jest taki towar na wolnym rynku.
Komentarze
Przeciez ta kwota jest smieszna, czasami bardziej rozeznana osoba zarobi $1mln na jednej akcji z wykorzystaniem takiego kodu.
Pomijam juz pozniejsza odsprzedaz – gdzie zapewne zysk jest 20x wiekszy niz koszt zakupu.
Tak oczywiscie, uwielbiam takie stwierdzenia od ludzi ktorzy mają zerowe pojęcie o wykorzystaniu exploitów w atakach, ktore przyniosa wymierne zyski. Milion dolarów to kwota wystarczająca w zupełności żeby każdy blackhat sprzedał takiego exploita, zamiast samemu go wykorzystać we własnej kampanii, która pochłonie masę pracy, dodatkowe nakłady finansowe na infrastrukture, sensowny spreading, a w efekcie i tak moze udupic swojego 0daya w ciagu kilku dni i być de facto finansowo do tyłu, a nie milion do przodu bez dodatkowego nakladu pracy poza samym exploitem rzecz jasna.
Jeszcze zanim spojrzałem w komentarze, wiedziałem, że musi być przynajmniej jeden, w którym jakaś kumata osoba obwieści niewtajemniczonej tłuszczy, że żaden szanujący się haker za takie psie pieniądze nawet nie spojrzy na monitor.
Ciekawi mnie, jaka kwota za tego rodzaju exploita nie wzbudzałaby u takiego senior menedżera exploitów politowania. Przypomnijmy, że mowa o exploicie, gdzie dopuszczalną formą wymaganej interakcji jest otwarcie strony internetowej w podatnej przeglądarce. 50 milionów dolarów? Miliard? Trylion?
@Mark – $1mln może i „śmieszne”, ale legalne. Lepsza bańka dolców niż 10 lat w pudle, konfiskata tego co się prawie ugrało, nie licząc kar finansowych i zabaw prysznicowych w puszce.
Czy tylko mi z3s umarło?
Rozumiem udział w bug bounty uruchomionym przez właściciela kawałka kodu, ale udział w czymś takim to dla mnie moralny rynsztok.
Moralny rynsztok to jest to co pokazała pani od Oracla ostatnio.
Nie popieram polityki Oracle, ale jestem w stanie zaakceptować ich stanowisko, stworzyli produkt mogą sobie nie życzyć RE. Fakt, że jest to stanowisko oderwane od rzeczywistości to już inna sprawa. Pewnie, nie jest to w porządku wobec klientów, no ale nikt nikogo nie zmusza do stosowania rozwiązań danego producenta. Natomiast w przypadku sprzedaży narzędzia, które bez cienia wątpliwości, zostanie użyte do inwigilacji, tutaj jak dla mnie nie ma miejsca na interpretację – w pakiecie z kasą zawsze jest miano moralnego bankruta.
Wbrew temu co niektorzy sadza, re nawet komercyjnego oprogramowania jest legalny. Skoro ktos zarabia legalnie sprzedajac owoce swojej pracy to jaki masz z tym problem? Wedlug Ciebie moralny rynsztok to np produkowac noże. Bo kto wie do czego to moze zostac uzyte. A sprzedawc takiemu producentowi rude zelaza to juz w ogole wspolodzial.
Ja sobie jestem w stanie wyobrazic calkowicie legalne zastosowanie. To ze jestes skrzywiony to Twoj problem :)
Mamy wolny rynek, jak sie nie podoba to apple ma srodki by zlozyc konkurencyjna oferte :)
Leagalne zastosowanie?! Dobre! A fałszywe BTSy są używane jako repeatery sygnału.
Falszywe BTS sa uzywane glownie przez policje. Glupio Ci teraz?
Ani trochę. Dla mnie jeżeli coś jest legalne wcale nie oznacza, że jest moralne. Możemy się tak przekomarzać w nieskończoność. Zacząłem temat bo nikt nie porusza kwestii moralnej skupowania 0day’y przez firmy trzecie. Jest ogólna ekscytacja wysokością nagrody, a tym samym zachęta, żeby spróbować swoich sił, a za chwilę te same osoby/portale będą narzekały na wybryki NSA. Jak dla mnie brak tu konsekwencji w przekazie.
Powiedz w jaki sposób chcesz być w miarę pewien, że system jest odporny na błędy i nawet NSA nie jest w stanie go przejść? Jeżeli chcesz być pewien ze system jest odporny na błędy, to trzeba te błędy prowokować. To o czym piszesz to zamiatanie problemu pod dywan – nie testujmy oprogramowania to błędów nie będzie. Powodzenia :)
Wole żeby błąd został ujawniony światu nawet w takiej formie, jak pozostawał ukryty przez lata, tylko do użytku wąskiej grupy przestępców lub służb typu NSA. Nie koniecznie nawet przy współpracy z producentem oprogramowania (poczytaj sobie jak Oracle łatał niektóre błędy bezpieczeństwa).
Więc o jakiej moralności tutaj piszesz? Chowanie głowy w piasek to żadna moralność :/
Nie mam nic przeciwko testowaniu. Jedyne do czego biję to sprzedaż 0day. Najpierw piszesz o legalnej sprzedaży owoców swojej pracy, a za chwilę wyrażasz swój niepokój, że błędy mogą wpaść w ręce NSA. To dwa sprzeczne stanowiska.
Czytanie ze zrozumieniem się kłania.
„Czytanie ze zrozumieniem się kłania.”. Wytłumacz więc proszę jakie jest Twoje stanowisko w kwestii sprzedaży 0day firmie trzeciej?
Tłumaczyłem przez ostatnie kilka komentarzy. Szkoda mi czasu na pisanie tego samego po raz n-ty