Guest expl0iter Posted March 28, 2012 Report Posted March 28, 2012 Persoanele care descopera vulnerabilitati la unele soft-uri pot castiga sume importante, si nu vorbim de 10.000 dolari, cat le ofera Google celor care vin cu astfel de idei. Potrivit Forbes, "agentiile guvernamentale" sunt dispuse sa plateasca 250.000 dolari pentru o vulnerabilitate, sau chiar mai mult. Publicatia sustine ca peste 10 intelegeri au fost parafate anul trecut si vreo 60 e de asteptat sa se perfecteze anul acesta.Conform articolului, un intermediar caruia i se spune Grugq sustine ca o problema la Adobe Reader poate sa iti aduca 30.000 dolari, una la MaxOS X pana la 50.000, iar una la Android pana la 60.000 dolari. Pentru Flash, Java si Word suma vehiculata este 100.000 dolari, in timp ce o vulnerabilitate la Windows se plateste cu 120.000 dolari, una la Firefox sau Safari cu 150.000, iar una la Chrome sau Internet Explorer cu 200.000. In fine, pentru problemele la iOS, se ofera 250.000 dolari, chiar mai mult. Hackerii care il abordeaza pe acest Grugq trebuie sa ii dea toate informatiile legate de vulnerabilitate, dar sa "nu puna prea multe intrebari". Ei ii vor plati 15% din suma castigata. Forbes mai scrie ca ofera bani pentru vulnerabilitati "guvernele vestice" si "in special guvernul SUA" . Cea mai buna meserie. Hackerii pot face sute de mii de dolari daca descopera probleme la Word sau la Chrome - www.yoda.ro Quote
malsploit Posted March 28, 2012 Report Posted March 28, 2012 Daca stai sa gandesti la rece, nu sunt sume mari. Daca sti sa exploatezi o vulnerabilitate majora intr-un produs software raspandit, poti face mult mai multi bani. Quote
crs12decoder Posted March 28, 2012 Report Posted March 28, 2012 Ca sa inteleg.E un tip caruia i se zice "Grugq", la care tu te duci cu vulnerabilitatea pe care ai descoperit-o. Ii spui totul despre ea, si el face un "magic trick" si vine cu banii de la firma si isi opreste 15%? Si nu orice suma.. 30-250k?Buna asta... Quote
malsploit Posted March 28, 2012 Report Posted March 28, 2012 (edited) Ca sa inteleg.E un tip caruia i se zice "Grugq", la care tu te duci cu vulnerabilitatea pe care ai descoperit-o. Ii spui totul despre ea, si el face un "magic trick" si vine cu banii de la firma si isi opreste 15%? Si nu orice suma.. 30-250k?Buna asta... Toate solutiile de jailbreak pentru iOS sunt oferite gratuit catre utilizatori si cei care le dezvolta castiga cateva zeci de mii de dolari din donatii. Totusi hackerii care descopera exploit-urile ar putea castiga pana la 250.000$, acesta fiind pretul pentru care o agentie guvernamentala a achizitionat un exploit al iOS. Cei de la Forbesc descriu o afacere facuta de catre un intermediar numit Grugq care aranjeaza vanzari ale exploit-urilor descoperite de catre hackeri. El gaseste clienti in diverse agentii guvernamentale sau companii private si in imaginea de mai sus aveti o lista de preturi pentru exploit-urile descoperite in diverse sisteme de operare. Anul acesta Grugq a reusit sa vanda un exploit pentru iOS pentru suma de 250.000$ si acum probabil multi se intreaba de ce mai sunt oferite gratuit solutiile de jailbreak din moment ce ele pot aduce sume foarte frumoase de bani hackerilor care le-au descoperit. Probabil acestia nu stiau cat pot obtine pe exploit-uri deoarece sigur le-ar fi vandut iar pe exploit-ul folosit anul trecut pentru a face jailbreak tabletei iPad 2 unele agentii ar fi fost dispuse sa plateasca cateva sute de mii de dolari fara sa stea pe ganduri. Probabil in viitor tot mai multi hackeri vor prefera sa isi vanda exploit-urile si cine i-ar putea condamna avand in vedere ca sumele oferite sunt enorme.E un tip foarte activ in domeniul securitatii. Organizeaza conferinte, seminarii. Edited March 28, 2012 by hate.me Quote
Nytro Posted March 29, 2012 Report Posted March 29, 2012 Ba, voi ganditi ce spuneti? Cum cacat faceti voi 250k dolari cu o vulnerabilitate? Poate sa ai cumva un RCE in sshd sa poti avea acces la toate serverele pe SSH din lume, sau in Apache sa poti executa cod pe 50% din web serverele din lume...Si uite ca nu vad nimic despre XSS si SQLI... Dar vai, nu dau guvernele 100k pentru un SQLI? Nu considera "hacking" un SQLI? Te mai baga si la inchisoare pentru unul? Quote
Guest expl0iter Posted March 29, 2012 Report Posted March 29, 2012 Astia nu vorbesc de XSS-uri in google si companii de genul, ci de exploituri 0day in windows/java/browsere cu care poti sa faci mult mai multi bani.Stiu asta!Nu ma refeream la faptul ca poti vinde vulnerabilitatea pe black market.Ma refeream la exploatarea ei. Daca ai resurse fizice si intelectuale cu un 0-day intr-un produs software raspandit la scara mondiala te poti face milionar intr-o zi.Si daca afla altul de vulnerabilitate inainte sa iti poti pune planul in aplicare, ala raporteaza vulnerabilitatea... Nu ramai cu buza umflata? Aici mergi mai mult pe norocBa, voi ganditi ce spuneti? Cum cacat faceti voi 250k dolari cu o vulnerabilitate? Poate sa ai cumva un RCE in sshd sa poti avea acces la toate serverele pe SSH din lume, sau in Apache sa poti executa cod pe 50% din web serverele din lume...Si uite ca nu vad nimic despre XSS si SQLI... Dar vai, nu dau guvernele 100k pentru un SQLI? Nu considera "hacking" un SQLI? Te mai baga si la inchisoare pentru unul?E doar o stire gasita pe un kkt de site de tembeliziune si postat aici, nimic mai mult. Nu am zis eu ca am gasit astfel de vulnerabilitati si ca am creat exploituri etc. Interpretezi totul gresit. Quote
phreak Posted March 29, 2012 Report Posted March 29, 2012 Nu e "cea mai buna meserie" pentru ca nu e stabila, nu gasesti 0day-uri importante in fiecare zi sau in fiecare luna.Cat despre discutia ca-i o suma mica.. mai degraba iau 250k de la un guvern si stiu ca nu stau cu fbi-u dupa curu meu decat sa fur in valoare de 1 milion. Quote