"Nem tudhatjuk, hogy szoftverünket szép hazánk védelmében, egy jó kis afrikai polgárháború kirobbantásához, vagy valamilyen világösszeesküvés támogatására fogják-e használni"

Megnézném, ahogy egy Flash Player sebezhetőséggel romba döntik a világot, vagy háborút robbantanak ki. :D Főleg mivel minden egyes nappal nő annak esélye, hogy egy fehér kalapos hacker (vagy az adott szoftver fejlesztői) találják meg ugyanazt a biztonsági rést, ami által 0 USD értékűre csökken a tegnap még 100000 USD értékű security hole, tehát az idő is szorítja a "vásárlót".

Egyébként meg az, hogy ki a terrorista attól függ, hogy te melyik oldalon állsz, illetve melyikből profitálsz.

A bűnöző fogalom is relatív a kettős mérce miatt. Egy magas rangú valakire (politikus, multi cégvezető, stb.) ritkán aggatják rá ezt a fogalmat.

De attól még mindkét oldalon ugyanúgy érdekből cselekszenek. Egy amerikai elnök ugyanúgy kirobbant egy háborút egy másik kontinensen, vagy akár a saját országát önmegtámadja, ha abból profitál ő és a holdudvara. Az emberek egy politikus/vezető számára ugyanannyit jelentenek, mint számodra egy stratégiai játékban az alacsony szintű harcosaid.

Ők azáltal "fehérek", "legálisak" és "törvényesek" (kinek melyik fogalom tetszik), mert ők határozzák meg, hogy mi a "legális" és mi a "törvényes".

A másik oldal pedig ugyanezen ok miatt "fekete", "bűnöző" és "törvénytelen".

Persze ezzel nem azt mondom, hogy ha valaki talál egy biztonsági rést Chrome-ban, az 80 000-ért adja el 1337 helyett, mert végezetül úgyis a szerencsétlen átlaguserek fogják megszívni, akik beszopják a kémprogramot, nem a Google, de attól még nem kell harmadik világháborút vizionalizálni.

Ha kritikus rendszerek Flash-t, Chrome-ot, vagy Microsoft termékeket használnak ÉS AZON HASALNAK EL, azokat talán jobb is, ha idejében kicsinálják, még mielőtt még több ügyfél bízik meg ilyen kóklerekben.

@penge™: /o\

@penge™: köszönjük az észt, nagy szükségünk van rá ezekben a zavaros időkben. :) Bocs ha kicsit cinikusnak tűnt de direkt volt mert te is sarkítottál...

"Megnézném, ahogy egy Flash Player sebezhetőséggel romba döntik a világot, vagy háborút robbantanak ki. :D"

Erre gondoltam. Szó nem volt róla hogy a "világot romba dönteni". Nagyon lesarkítottad, de ha túllépek ezen akkor is nagyon rossz felől közelíted. Az hogy milyen sérülékenység, az mindegy, de legyen flash player. A megfelelő kezekben egy célzott és megtervezett támadásban igenis lehet a támadási vektor, vagy ha úgy tetszik cél hálózatába a belépési pont. Az hogy mekkora balhé lesz belőle csak attól függ hogy ki a célpont és mi a támadó motivációja. ehh... mindegy... én most kihagyom a közhelyekkel dobálózást. -_-

peace

@penge: google-be: flash, rsa token, lockheed martin.. es gondold kicsit tovabb..

@_2501: Ebből nekem az jött le "Nem tudhatjuk, hogy szoftverünket szép hazánk védelmében, egy jó kis afrikai polgárháború kirobbantásához, vagy valamilyen világösszeesküvés támogatására fogják-e használni"

Ugyanis ezek egyike sem valószínű. Sokkal inkább a konkurencia kicsinálása és hasonlók.

@sghctoma: Ő is a kóklerekhez tartozik. Az, hogy fegyverekkel foglalkozik és óriáscég még sokszorosan szánalmasabbá teszi a szememben, hogy a Flash-en hasal el. Az ilyenek a nagy számok törvénye alapján előbb-utóbb úgyis veszni fognak. Akkor meg inkább előbb, mint utóbb.

Vagy úgy gondolod, hogy a kiváltó ok megszüntetése nélkül tüneti kezeléssel megszűnnek azok, akik feketepiacon adják el a sérülékenységeket?

Az, hogy xy nem adja el, attól maximum xy-nak lesz kevesebb pénze és a célpont időt nyer. De mivel ő ennek nincs tudatában (mert ha eddig is leszarta, maximum egy tényleges támadás utána fog foglalkozni a biztonsággal), xy "utódja" még ugyanúgy a feketepiacon fogja eladni.

Ezt világdiktatúrában sem lehetne megszüntetni (azt meg ugye nem akarunk). Elsősorban a lényegi szempontokkal kéne foglalkozni.

- Mi motiválja azokat, akik ilyen magas összegeket adnak 1-1 sebezhetőségért? Mindez szituációkra lebontva.
- IT-ben jártas (tehát elvileg(!) nem csóró) embereket mi motivál abban, hogy pár nullával többért ilyesmire vetemedjenek? Talán hiányt szenved olyasmiben, amit a sok pénz megoldana? Vagy egyetért a felhasználási célokkal? Ha igen, miért? Vagy esetleg nem érdekli őt? Ha igen (és nem szociopata) akkor miért?

De ugyanezeket a spamerekre és a botnet üzemeltetőkre is rá lehetne vetíteni. Talán sikeresebb lenne hosszútávon, mint a modernkori boszorkányüldözés.

@penge™: oké... :D

@penge: annyi baromsagot idehordtal hogy nem fogom mindet lereagalni. Tajekozottsagodon azert progalok segiteni kicsit:

"Mi motiválja azokat, akik ilyen magas összegeket adnak 1-1 sebezhetőségért? Mindez szituációkra lebontva."

Mondjuk hitelkartya-adatokat lopnak nagy-mennyisegben bunszovetkezetben. Nekik ez filleres tema.

"IT-ben jártas (tehát elvileg(!) nem csóró) embereket mi motivál abban, hogy pár nullával többért ilyesmire vetemedjenek?'

Jo, hogy kiemelted az elvileget. Mondjuk azert mert egy magyar fejlesztot szopatnak itthon 30ezer dollarert, ugyanez usaban 60-80. Nem mindegy mellesleg hogy szopsz vmi webapp auditjaval havi x-ert vagy azt csinalod amit szeretsz es eladod 10x-ert.

"Talán hiányt szenved olyasmiben, amit a sok pénz megoldana?"

Ki tudja.

"Vagy egyetért a felhasználási célokkal?"

Elofordulhat, de ha ez lenne a szitu, o maga lone ra es nem adna el. Ha eladod az tuti recept arra, hogy kikeruljon hamar.

"Ha igen, miért?"

Mert szelsoseges vallasos. Peladul.

"Vagy esetleg nem érdekli őt?"

Vannak szociopatak is a vilagon.

"Ha igen (és nem szociopata) akkor miért?"

Mert szelsoseges vallasos. Peldaul.

Egyebkent a konteos irany (bar buhera nem azt irta aminek te olvastad) sem lehetetlen, a Stuxnet ota ezt a nagykozonseg is tudja, nem csak azok akik ezzel foglalkoznak. Ugyancsak baromsag az, hogy a piac majd megmondja a tutit. SOHA nem mondja meg mert az emberek olyan mertekben tajekozatlanok hogy egy sulyos balfaszsagot is szemrebbenes nelkul turnek. Veszik tovabb a haszontalan viruskergetot mega microsoft improved mitigation experience gtx premium 9800S-t.

@synapse: Tehát azért vagyok tájékozatlan, mert úgy gondolom, hogy a vallási fanatikusok elenyésző kisebbséget képviselnek azokhoz képest, akik üzleti érdekből vásárolnak nagy összegekért 0 day sebezhetőségeket?

Fizetések IT szférában: Itthon mindenkit szopatnak. Bármilyen fizetést nézel (kivétel állami szektorban magas beosztásban) az a balkáni fizetésekkel egyenértékű (ha az adókat és mindenféle levonást is hozzáveszel). Viszont az elmaradottabb országokban az élet olcsóbb (kaja, rezsi, stb.) Azaz ezzel nem mondtál semmi újat, mert ez kivetíthető lenne az egész társadalomra.

Ez szocializáció kérdése. Magyarországon ha megtripláznád a fizetéseket is arányaiban többen lopnának, mint nyugatabbra. Legalább 2 generációnak le kellene csengeni, mire eljutnánk oda, mint az északi népek, vagy Nyugat-Európa. Ez egyfajta védekezési mechanizmus részünkről. Egy normális országban ha korrupt köcsög vagy, akkor kirekeszt a társadalom. Egy olyan országban, amiben mi élünk, ha NEM vagy korrupt köcsög, akkor mindenki úgy gondolja, hogy a homlokodra van írva, hogy hülye és megpróbál átbaszni.

Ezen egyszerű oknál fogva sütögeti itt mindenki a saját pecsenyéjét, miközben máshol inkább becsületesen adja el a sebezhetőséget 1337 dollárért, 80000 helyett.

És nem azért, mert neki nem lenne ugyanúgy több pénz a több pénz. Egyszerűen bízik a saját rendszerében, mert megteheti. Egy német hackernek például nem kell államcsőd miatt aggódni, nem kell amiatt aggódni, hogy a bankban tartott (kamatozó) félretett pénzét vagy a magányugdíjpénztárát lenyúlják, nem kell attól tartani, hogy horribilis lesz a benzin (különben is tud venni elektromos kocsit, akár hitelre is, ha sürgős, mert nem b*sszák át devizával, ha nem polihisztor is egy személyben), ráadásul nem kell amiatt sem aggódnia, hogy a szimpla egyszerű házára/lakására ingatlan adót vetnek ki, a kutyájára pedig ebadót. Illetve (csak hogy polkorrekt maradjak) orvoshoz is hálapénzes rendszer mellett vizitdíjért meg balkáni színvonalú eszközök mellett tud elmenni, illetve fizetnie kell a felsőoktatásért, vagy röghöz kötik.

Kicsit elrugaszkodtam a politika irányába, de lényeges volt, mivel szvsz. ezek nagyságrendekkel nagyobb szeletet képviselnek a társadalomból, mint a vallási fanatikusok, még világviszonylatban is.

Szép dolog az erkölcs, meg az elv, de esetenként nagyon sokba tud kerülni. Ha pedig az ember léte is fenyegetve van, akkor természetes evolúciós ösztön, ha küzd a társadalmi státuszának megtartásáért.

Arra még válaszolok, hogy azért nem ő maga csinálná (ha egyetért a célokkal), hanem inkább eladná, mert esetleg túl paranoiás, vagy nem akarja bemocskolni a kezét, vagy mindkettő.

@_2501: Successful troll is successful. :)

@penge: Azert vagy tajekozatlan mert emlegeted itt demagog hulye modjara a Nyugatot, ahol a kerites is kolbaszbol van. Valoszinusitem, hogy nem eltel ott soha. Ezzel konnyu dobalozni, mert ezt hallod TV-bol, radiobol, csak az a bibi, hogy ez nem az igazsag. Peldaul ha az IT-nal maradunk igenis nagy szarban vannak kint a szakemberek mert kb kishazankbol fele annyiert elvegzik a munkajukat, Indiaban meg tized annyiert. Ezen is el lehetne gondolkozni.

Nagyon zarojelesen megjegyzem ismerek arcokat a Nyugatrol (rofl), es nem sokkal becsuletesebbek mint az atlag Magyar emberek.

A politikai flamebait-et most skippelem.

@penge™: "miközben máshol inkább becsületesen adja el a sebezhetőséget 1337 dollárért, 80000 helyett"

Ebben nem hiszek. Pro és kontra tudok eseteket 0day eladásokról nyugati és keleti eladókkal. Nem lehet bekategorizálni ez alapján egy sellert, se IQ, se pénzügyi helyzet, se politikai hovatartozás, se semmi hasonló alapján, hogy miért ad, vagy miért nem ad el egy exploitot a fekete piacon.

"Szép dolog az erkölcs, meg az elv, de esetenként nagyon sokba tud kerülni. Ha pedig az ember léte is fenyegetve van, akkor természetes evolúciós ösztön, ha küzd a társadalmi státuszának megtartásáért."

Sarkítva azt mondod, hogy a szegény emberek mindenképp lopni, rabolni és csalni kényszerülnek, a gazdagok pedig nem tesznek ilyet. Szegény embernek nem lehetnek elvei? Nem lehet erkölcsös? A gazdagok viszont mindenképp elvhű, erkölcsös emberek? A világ nem ennyire fekete és fehér.

Nyilván persze az eredeti kérdést úgy lehetne egyszerűen bizonyítani, ha reprezentatív mintákból készült statisztika állna rendelkezésre arról, hogy kik adják-veszik leginkább a black marketen a 0dayeket, de tartok tőle, hogy ilyen mérési eredményeket nem fogunk látni és ha látnánk is, akkor is mindenki kicsit mást szűrne le belőle.

A kérdést azonban kilehet fordítani. Azt megtudod nézni, hogy kik azok viszont, akik nem 80000 dollárért, hanem 1337-ért, vagy kevesebbért adtak el 0dayt. Ha az alapján bizonyítható lenne, hogy nagyobbrészt nyugati civilizációból származó, stabil anyagi háttérrel rendelkező hackerek vannak erősen többségben, akkor lenne igazságtartalma annak amit mondtál. Jelenleg azonban én inkább azt látom, hogy a felhozatal rendkívül vegyes és például a legtöbb Chrome hibát levadászó ember pont egy nem túl vagyonos orosz egyetemi hallgató... Lásd:

buhera.blog.hu/2012/03/08/pwn2own_es_pwnium/fullcommentlist/1#c16057416

www.schneier.com/blog/archives/2012/04/buying_exploits.html

@Hunger: Inkább úgy fogalmaznék, hogy míg a gazdag jobban megengedheti magának, hogy az legyen, addig a szegény ha nem kapaszkodik minden kínálkozó lehetőségbe, akkor az is marad.

Ráadásul egyéb tényezők is befolyásolhatják. Akinek van vagyona az hajlamosabb(!) arra, hogy fél a börtönbe jutás lehetőségétől, míg egy adósságban úszó szerencsétlen, aki éppen most realizálja, hogy hiába dolgozott 20 évet, nyugdíja már nem lesz hajlamosabb(!) nagyobbat kockáztatni, illetve kevésbé mérlegelni.

Ellenpélda viszont, hogy a gazdagabbak többnyire szélesebb kapcsolatokkal rendelkeznek, ezáltal tudják, hogy hol és miként tudják eladni a sebezhetőséget, plusz a bizalmi kérdés. Ő adja előre a sebezhetőséget, vagy a vevő utalja előre a pénzt? Ha kacsa az egész, akkor feleslegesen hozott létre egy offshore bankszámlát és egyéb kételyek is felmerülhetnek.

Statisztika sem kell, elég ha csak a szimpla anyagi haszonért elkövetett bűncselekményeket nézed, hogy nagytöbbségben a szegénységből kerülnek ki a tettesek és akinek sikerült megszednie magát (ez nem meglepő módon nincs benne a statisztikában, mivel ha lenne rá bizonyíték, akkor letartóztatták volna), azok általában igyekszenek minél hamarabb legalizálni a bizniszt (ha csak nem adrenalinfüggők). De mivel pénzt pénzzel lehet csinálni, a nincsből pedig nem, ezért ez logikus is.

Valóban sarkított volt a példám, mindössze arra próbáltam rávilágítani, hogy a pénz (illetve inkább a hiánya) egy elég nagy motivációs tényező. Egyébként gazdag alatt nem feltétlen a Forbes listát súrolókat értem. Bőven elég, ha az illető nem érezte annyira a szegénységet, így a hackelés számára csak hobbi.

Ellentétben azokkal, akiknek fiatalkorukban internet előfizetésre sem volt pénzük, ráadásul már tizenévesen fizikai munkával tartották el a családjukat (mondjuk egyedülálló szülő, sok testvér), aztán a hackelést ATM-eken meg nyerőgépeken kezdték el és az ebből felhalmozott tőke segítségével emelkedtek ki a gettóból, de nem annyira, mint az amcsi rapperek, hanem csak éppen annyira, hogy nem kell napi 12 órás melóval egyik hónapról a másikra élni.

A példámban szereplő életmódok ugyancsak sarkítottak, de éppen azért, hogy lásd a végletek közötti különbséget.

@penge™: volt már olyan hogy a véleményedet röviden, tömören meg tudtad fogalmazni? XDD