Új hozzászólás Aktív témák
-
buherbela
csendes tag
Azért kell 10-szeres erőforrás, mert ilyen esetben te nem a bugot árulod, hanem az exploitot. Egy modern operációs rendszereken, megbízhatóan működő exploit megírása az okosok szerint átlagosan nagyjából 10x akkora meló, mint pusztán a bugot megtalálni (és belátni róla, hogy kihasználható).
Az MS12-020 részletei nagyjából március óta nyilvánosak, nyilvános exploit viszont nincs rá. A ZDI-sek állítólag fejlesztettek egyet, 3 emberhónap melóval. Maga a bug elméletileg előjöhetett egy megfelelően megírt/konfigurált fuzzerrel is.http://buhera.blog.hu
-
buherbela
csendes tag
"Szürke" piac eddig is működött a nyilvános mellett. Ha befektsz X erőforrást egy exploitba, azért gyakorlatilag kockázatmentesen kaphatsz X*Y pénzt mondjuk a ZDI-től. Ha befektetsz 10X erőforrást, _és_ megvannak a kapcsolataid _és_ nem érdekel mire használják a kódot _és_ jók az idegeid (lásd még: http://buhera.blog.hu/2012/03/27/fegyvernepperek), kaphatsz mondjuk 20XY pénzt a szürkepiacon. Utóbbi azonban a többségnek egyszerűen nem reális opció.
http://buhera.blog.hu
-
-
buherbela
csendes tag
ahhoz, hogy ilyen árat kapj, nagyságrendekkel nagyobb melót kell befektetned (általában multiplatform exploitot kell írnod, ami nem is biztos h mindig lehetséges), mint ha csak a bugokra, esetleg proof-of-conceptre játszanál, ahogy az általában szokás.
http://buhera.blog.hu
-
buherbela
csendes tag
Ez nem akkora újdonság, a ZDI konkrétan erre lett kitalálva (lásd Pwn2Own), szóval Portnoy-ék csak megpróbálják kiszervezni azt az "üzletágat", amit egyébként is ők találtak ki, és hajtottak évekig TippingPoint, később HP színekben. Tapasztalat egyébként, hogy a ZDI-ből az utóbbi időben egyre keservesebb pénzt lehetett kinyerni...
Bár arról még nincs infó, hogy kik lennének az Exodus reménybeli vásárlói, a ZDI-nél azért messze nem osztogattak százezer dollárokat a kutatóknak, inkább ezreket, a gyártókat pedig ingyen értesítették a sérülékenységekről. Az ilyen meseösszegek akkor játszanak, ha csak nagyon kevesen tudnak egy adott hibáról + van hozzá megbízható exploit is.
A kutatónak pedig azért éri meg a játék, mert a brókernek általában jobbak a kapcsolatai, és könnyebben tudja értékesíteni az infót, másrészt egyfajta proxyként védi a bejelentő s*ggét is a jogászoktól, garanciát vállal a kifizetésre stb.
http://buhera.blog.hu
-
Tigerclaw
nagyúr
Ez miért érné meg annak aki felfedezett egy hibát? Inkább ő szól és ő kapja a lóvét. Ez valami olyan vállalkozás akik beáraznak minden bugot, majd aszerint adják el az infót a fejlesztőcégnek?
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
Melóhelyemen le van tiltva a blog.hu... 
. Azért ezzel masszívan vissza lehet élni.
Új hozzászólás Aktív témák
it A HP biztonsági szakemberei egy olyan céget gründoltak, amely a még javítatlan hibák menedzselését látná el.
- Gyúrósok ide!
- Bemutatkozott a Poco X7 és X7 Pro
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- Milyen processzort vegyek?
- Multimédiás / PC-s hangfalszettek (2.0, 2.1, 5.1)
- Házimozi belépő szinten
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- Politika
- Évek óta ígért funkcióval egészíti ki a DirectX 12-t a Microsoft
- exHWSW - Értünk mindenhez IS
- További aktív témák...
- Asus ROG Strix X570-E Gaming
- G.SKILL Aegis 32GB (2x16GB) DDR4 3000MHz
- Új CAPTIVA Gamer Tervező Laptop 17" -50% Bivaly i5-13500H 6Mag 64GB/2TB RTX 4060 8GB FHD 144Hz
- Lenovo Ideapad 320 : I3-6006U /// 4GB DDR4 /// 128GB SSD /// Windows 10
- LENOVO ThinkCentre M710q Mini PC, I5-7500T CPU, 8GB DDR4, 256GB NVME SSD WIFI, Bluetooth, Win 11, 27
Állásajánlatok
Cég: Marketing Budget
Város: Budapest