Andy Greenberg, a Forbes újságírója a Pwn2Own-on felbuzdulva nekiállt, és összerakott két áttekintő cikket (egyik, másik) az "elit" exploit piacok működéséről. Az írásokból nem csak a keresleti és kínálati oldal jellegét ismerhetjük meg, hanem a mindig mindenhol hétpecsétes titokként kezelt árszabásról is kaphatunk információkat. Mindenkinek ajánlom, hogy a cikkeket eredetiben olvassa el, így kell újságot írni! Én most csak néhány saját gondolatomat osztanám meg veletek, kiegészítésként a témában írt korábbi agymenésemhez.
A fenti táblázat azt hiszem jól mutatja, mekkora üzlet van a 0-day exploit fejlesztésben. Mielőtt azonban fuzzing clusterek kiépítése céljából elkezdenétek pénzzé tenni ingóságaitokat, nem árt végiggondolni pár dolgot:
Igazából senki sem tagadja, hogy itt gyakorlatilag fegyverkereskedelemről van szó. Nem tudhatjuk, hogy szoftverünket szép hazánk védelmében, egy jó kis afrikai polgárháború kirobbantásához, vagy valamilyen világösszeesküvés támogatására fogják-e használni - további ötletek meríthetők A háló kalózai sorozatból. Persze láthatóan vannak, akik könnyebben megbékélnek ezzel a hivatással, mint tudjuk, "a lőszergyáros jó ember / valamiből élni kell".
De azoknak is, akiknek a hat számjegyű összegek hatékonyan gyógyítják lelkiismeretét, érdemes elgondolkodniuk a költség oldalon is. Ennyi pénzből talán még futja riasztóra, szöges kerítésre, páncélautóra, fegyveres testőrökre, de senkinek nem kívánom, hogy naponta azon kelljen aggódnia, hazajön-e a gyerek a suliból...
És egy kis elgondolkodtató adalék a végére: április 1-én jár le a Blue Hat Prize nevezési határideje. A pályázat célja a szoftveres megerősítő megoldások új alapokra helyezése, hosszú távú hatást gyakorolva az IT-biztonságra. A korszakalkotó újítás kiagyalójának 200.000 dollárt, egyetlen árva IE bug árát ajánlotta fel a Microsoft...
penge™ · http://www.thevenusproject.com/ 2012.03.27. 23:32:40
Megnézném, ahogy egy Flash Player sebezhetőséggel romba döntik a világot, vagy háborút robbantanak ki. :D Főleg mivel minden egyes nappal nő annak esélye, hogy egy fehér kalapos hacker (vagy az adott szoftver fejlesztői) találják meg ugyanazt a biztonsági rést, ami által 0 USD értékűre csökken a tegnap még 100000 USD értékű security hole, tehát az idő is szorítja a "vásárlót".
Egyébként meg az, hogy ki a terrorista attól függ, hogy te melyik oldalon állsz, illetve melyikből profitálsz.
A bűnöző fogalom is relatív a kettős mérce miatt. Egy magas rangú valakire (politikus, multi cégvezető, stb.) ritkán aggatják rá ezt a fogalmat.
De attól még mindkét oldalon ugyanúgy érdekből cselekszenek. Egy amerikai elnök ugyanúgy kirobbant egy háborút egy másik kontinensen, vagy akár a saját országát önmegtámadja, ha abból profitál ő és a holdudvara. Az emberek egy politikus/vezető számára ugyanannyit jelentenek, mint számodra egy stratégiai játékban az alacsony szintű harcosaid.
Ők azáltal "fehérek", "legálisak" és "törvényesek" (kinek melyik fogalom tetszik), mert ők határozzák meg, hogy mi a "legális" és mi a "törvényes".
A másik oldal pedig ugyanezen ok miatt "fekete", "bűnöző" és "törvénytelen".
Persze ezzel nem azt mondom, hogy ha valaki talál egy biztonsági rést Chrome-ban, az 80 000-ért adja el 1337 helyett, mert végezetül úgyis a szerencsétlen átlaguserek fogják megszívni, akik beszopják a kémprogramot, nem a Google, de attól még nem kell harmadik világháborút vizionalizálni.
Ha kritikus rendszerek Flash-t, Chrome-ot, vagy Microsoft termékeket használnak ÉS AZON HASALNAK EL, azokat talán jobb is, ha idejében kicsinálják, még mielőtt még több ügyfél bízik meg ilyen kóklerekben.
eax_ 2012.03.28. 00:24:28
_2501 2012.03.28. 09:54:21
"Megnézném, ahogy egy Flash Player sebezhetőséggel romba döntik a világot, vagy háborút robbantanak ki. :D"
Erre gondoltam. Szó nem volt róla hogy a "világot romba dönteni". Nagyon lesarkítottad, de ha túllépek ezen akkor is nagyon rossz felől közelíted. Az hogy milyen sérülékenység, az mindegy, de legyen flash player. A megfelelő kezekben egy célzott és megtervezett támadásban igenis lehet a támadási vektor, vagy ha úgy tetszik cél hálózatába a belépési pont. Az hogy mekkora balhé lesz belőle csak attól függ hogy ki a célpont és mi a támadó motivációja. ehh... mindegy... én most kihagyom a közhelyekkel dobálózást. -_-
peace
sghctoma · http://sghctoma.extra.hu 2012.03.28. 13:39:48
penge™ · http://www.thevenusproject.com/ 2012.03.28. 20:48:50
Ugyanis ezek egyike sem valószínű. Sokkal inkább a konkurencia kicsinálása és hasonlók.
@sghctoma: Ő is a kóklerekhez tartozik. Az, hogy fegyverekkel foglalkozik és óriáscég még sokszorosan szánalmasabbá teszi a szememben, hogy a Flash-en hasal el. Az ilyenek a nagy számok törvénye alapján előbb-utóbb úgyis veszni fognak. Akkor meg inkább előbb, mint utóbb.
Vagy úgy gondolod, hogy a kiváltó ok megszüntetése nélkül tüneti kezeléssel megszűnnek azok, akik feketepiacon adják el a sérülékenységeket?
Az, hogy xy nem adja el, attól maximum xy-nak lesz kevesebb pénze és a célpont időt nyer. De mivel ő ennek nincs tudatában (mert ha eddig is leszarta, maximum egy tényleges támadás utána fog foglalkozni a biztonsággal), xy "utódja" még ugyanúgy a feketepiacon fogja eladni.
Ezt világdiktatúrában sem lehetne megszüntetni (azt meg ugye nem akarunk). Elsősorban a lényegi szempontokkal kéne foglalkozni.
- Mi motiválja azokat, akik ilyen magas összegeket adnak 1-1 sebezhetőségért? Mindez szituációkra lebontva.
- IT-ben jártas (tehát elvileg(!) nem csóró) embereket mi motivál abban, hogy pár nullával többért ilyesmire vetemedjenek? Talán hiányt szenved olyasmiben, amit a sok pénz megoldana? Vagy egyetért a felhasználási célokkal? Ha igen, miért? Vagy esetleg nem érdekli őt? Ha igen (és nem szociopata) akkor miért?
De ugyanezeket a spamerekre és a botnet üzemeltetőkre is rá lehetne vetíteni. Talán sikeresebb lenne hosszútávon, mint a modernkori boszorkányüldözés.
_2501 2012.03.28. 23:25:37
synapse · http://www.synsecblog.com 2012.03.29. 01:35:59
"Mi motiválja azokat, akik ilyen magas összegeket adnak 1-1 sebezhetőségért? Mindez szituációkra lebontva."
Mondjuk hitelkartya-adatokat lopnak nagy-mennyisegben bunszovetkezetben. Nekik ez filleres tema.
"IT-ben jártas (tehát elvileg(!) nem csóró) embereket mi motivál abban, hogy pár nullával többért ilyesmire vetemedjenek?'
Jo, hogy kiemelted az elvileget. Mondjuk azert mert egy magyar fejlesztot szopatnak itthon 30ezer dollarert, ugyanez usaban 60-80. Nem mindegy mellesleg hogy szopsz vmi webapp auditjaval havi x-ert vagy azt csinalod amit szeretsz es eladod 10x-ert.
"Talán hiányt szenved olyasmiben, amit a sok pénz megoldana?"
Ki tudja.
"Vagy egyetért a felhasználási célokkal?"
Elofordulhat, de ha ez lenne a szitu, o maga lone ra es nem adna el. Ha eladod az tuti recept arra, hogy kikeruljon hamar.
"Ha igen, miért?"
Mert szelsoseges vallasos. Peladul.
"Vagy esetleg nem érdekli őt?"
Vannak szociopatak is a vilagon.
"Ha igen (és nem szociopata) akkor miért?"
Mert szelsoseges vallasos. Peldaul.
Egyebkent a konteos irany (bar buhera nem azt irta aminek te olvastad) sem lehetetlen, a Stuxnet ota ezt a nagykozonseg is tudja, nem csak azok akik ezzel foglalkoznak. Ugyancsak baromsag az, hogy a piac majd megmondja a tutit. SOHA nem mondja meg mert az emberek olyan mertekben tajekozatlanok hogy egy sulyos balfaszsagot is szemrebbenes nelkul turnek. Veszik tovabb a haszontalan viruskergetot mega microsoft improved mitigation experience gtx premium 9800S-t.
penge™ · http://www.thevenusproject.com/ 2012.03.29. 09:06:18
Fizetések IT szférában: Itthon mindenkit szopatnak. Bármilyen fizetést nézel (kivétel állami szektorban magas beosztásban) az a balkáni fizetésekkel egyenértékű (ha az adókat és mindenféle levonást is hozzáveszel). Viszont az elmaradottabb országokban az élet olcsóbb (kaja, rezsi, stb.) Azaz ezzel nem mondtál semmi újat, mert ez kivetíthető lenne az egész társadalomra.
Ez szocializáció kérdése. Magyarországon ha megtripláznád a fizetéseket is arányaiban többen lopnának, mint nyugatabbra. Legalább 2 generációnak le kellene csengeni, mire eljutnánk oda, mint az északi népek, vagy Nyugat-Európa. Ez egyfajta védekezési mechanizmus részünkről. Egy normális országban ha korrupt köcsög vagy, akkor kirekeszt a társadalom. Egy olyan országban, amiben mi élünk, ha NEM vagy korrupt köcsög, akkor mindenki úgy gondolja, hogy a homlokodra van írva, hogy hülye és megpróbál átbaszni.
Ezen egyszerű oknál fogva sütögeti itt mindenki a saját pecsenyéjét, miközben máshol inkább becsületesen adja el a sebezhetőséget 1337 dollárért, 80000 helyett.
És nem azért, mert neki nem lenne ugyanúgy több pénz a több pénz. Egyszerűen bízik a saját rendszerében, mert megteheti. Egy német hackernek például nem kell államcsőd miatt aggódni, nem kell amiatt aggódni, hogy a bankban tartott (kamatozó) félretett pénzét vagy a magányugdíjpénztárát lenyúlják, nem kell attól tartani, hogy horribilis lesz a benzin (különben is tud venni elektromos kocsit, akár hitelre is, ha sürgős, mert nem b*sszák át devizával, ha nem polihisztor is egy személyben), ráadásul nem kell amiatt sem aggódnia, hogy a szimpla egyszerű házára/lakására ingatlan adót vetnek ki, a kutyájára pedig ebadót. Illetve (csak hogy polkorrekt maradjak) orvoshoz is hálapénzes rendszer mellett vizitdíjért meg balkáni színvonalú eszközök mellett tud elmenni, illetve fizetnie kell a felsőoktatásért, vagy röghöz kötik.
Kicsit elrugaszkodtam a politika irányába, de lényeges volt, mivel szvsz. ezek nagyságrendekkel nagyobb szeletet képviselnek a társadalomból, mint a vallási fanatikusok, még világviszonylatban is.
Szép dolog az erkölcs, meg az elv, de esetenként nagyon sokba tud kerülni. Ha pedig az ember léte is fenyegetve van, akkor természetes evolúciós ösztön, ha küzd a társadalmi státuszának megtartásáért.
Arra még válaszolok, hogy azért nem ő maga csinálná (ha egyetért a célokkal), hanem inkább eladná, mert esetleg túl paranoiás, vagy nem akarja bemocskolni a kezét, vagy mindkettő.
eax_ 2012.03.30. 15:22:41
synapse · http://www.synsecblog.com 2012.03.30. 16:13:12
Nagyon zarojelesen megjegyzem ismerek arcokat a Nyugatrol (rofl), es nem sokkal becsuletesebbek mint az atlag Magyar emberek.
A politikai flamebait-et most skippelem.
Hunger 2012.03.30. 16:33:38
Ebben nem hiszek. Pro és kontra tudok eseteket 0day eladásokról nyugati és keleti eladókkal. Nem lehet bekategorizálni ez alapján egy sellert, se IQ, se pénzügyi helyzet, se politikai hovatartozás, se semmi hasonló alapján, hogy miért ad, vagy miért nem ad el egy exploitot a fekete piacon.
"Szép dolog az erkölcs, meg az elv, de esetenként nagyon sokba tud kerülni. Ha pedig az ember léte is fenyegetve van, akkor természetes evolúciós ösztön, ha küzd a társadalmi státuszának megtartásáért."
Sarkítva azt mondod, hogy a szegény emberek mindenképp lopni, rabolni és csalni kényszerülnek, a gazdagok pedig nem tesznek ilyet. Szegény embernek nem lehetnek elvei? Nem lehet erkölcsös? A gazdagok viszont mindenképp elvhű, erkölcsös emberek? A világ nem ennyire fekete és fehér.
Nyilván persze az eredeti kérdést úgy lehetne egyszerűen bizonyítani, ha reprezentatív mintákból készült statisztika állna rendelkezésre arról, hogy kik adják-veszik leginkább a black marketen a 0dayeket, de tartok tőle, hogy ilyen mérési eredményeket nem fogunk látni és ha látnánk is, akkor is mindenki kicsit mást szűrne le belőle.
A kérdést azonban kilehet fordítani. Azt megtudod nézni, hogy kik azok viszont, akik nem 80000 dollárért, hanem 1337-ért, vagy kevesebbért adtak el 0dayt. Ha az alapján bizonyítható lenne, hogy nagyobbrészt nyugati civilizációból származó, stabil anyagi háttérrel rendelkező hackerek vannak erősen többségben, akkor lenne igazságtartalma annak amit mondtál. Jelenleg azonban én inkább azt látom, hogy a felhozatal rendkívül vegyes és például a legtöbb Chrome hibát levadászó ember pont egy nem túl vagyonos orosz egyetemi hallgató... Lásd:
buhera.blog.hu/2012/03/08/pwn2own_es_pwnium/fullcommentlist/1#c16057416
kz71 2012.04.03. 09:28:02
penge™ · http://www.thevenusproject.com/ 2012.04.03. 16:45:12
Ráadásul egyéb tényezők is befolyásolhatják. Akinek van vagyona az hajlamosabb(!) arra, hogy fél a börtönbe jutás lehetőségétől, míg egy adósságban úszó szerencsétlen, aki éppen most realizálja, hogy hiába dolgozott 20 évet, nyugdíja már nem lesz hajlamosabb(!) nagyobbat kockáztatni, illetve kevésbé mérlegelni.
Ellenpélda viszont, hogy a gazdagabbak többnyire szélesebb kapcsolatokkal rendelkeznek, ezáltal tudják, hogy hol és miként tudják eladni a sebezhetőséget, plusz a bizalmi kérdés. Ő adja előre a sebezhetőséget, vagy a vevő utalja előre a pénzt? Ha kacsa az egész, akkor feleslegesen hozott létre egy offshore bankszámlát és egyéb kételyek is felmerülhetnek.
Statisztika sem kell, elég ha csak a szimpla anyagi haszonért elkövetett bűncselekményeket nézed, hogy nagytöbbségben a szegénységből kerülnek ki a tettesek és akinek sikerült megszednie magát (ez nem meglepő módon nincs benne a statisztikában, mivel ha lenne rá bizonyíték, akkor letartóztatták volna), azok általában igyekszenek minél hamarabb legalizálni a bizniszt (ha csak nem adrenalinfüggők). De mivel pénzt pénzzel lehet csinálni, a nincsből pedig nem, ezért ez logikus is.
Valóban sarkított volt a példám, mindössze arra próbáltam rávilágítani, hogy a pénz (illetve inkább a hiánya) egy elég nagy motivációs tényező. Egyébként gazdag alatt nem feltétlen a Forbes listát súrolókat értem. Bőven elég, ha az illető nem érezte annyira a szegénységet, így a hackelés számára csak hobbi.
Ellentétben azokkal, akiknek fiatalkorukban internet előfizetésre sem volt pénzük, ráadásul már tizenévesen fizikai munkával tartották el a családjukat (mondjuk egyedülálló szülő, sok testvér), aztán a hackelést ATM-eken meg nyerőgépeken kezdték el és az ebből felhalmozott tőke segítségével emelkedtek ki a gettóból, de nem annyira, mint az amcsi rapperek, hanem csak éppen annyira, hogy nem kell napi 12 órás melóval egyik hónapról a másikra élni.
A példámban szereplő életmódok ugyancsak sarkítottak, de éppen azért, hogy lásd a végletek közötti különbséget.
_2501 2012.04.04. 09:56:31