[Owasp-greece] Lefta gia Exploitation

Miltos SSDD ssdd.gr at gmail.com
Wed Jan 17 08:26:13 EST 2007


2007/1/17, E. Kellinis <e.kellinis at gmail.com>:
>
>
> http://labs.idefense.com/vcp/challenge.php#more_q1+2007%3A+vulnerability+challenge
>
> *Challenge Focus:* Remote Arbitrary Code Execution Vulnerabilities in
> Vista & IE 7.0
> *Time Period:* Q1, 2007
> *Prize Amount:* $8,000 - $12,000
> *Submission Deadline:* Before Midnight EST on March 31, 2007
>
> h iDefence me to Exploit to be paid  sistima ksekinise to 2007
> gia kathe security bug pou vriskete  dinoun $8,000 , vevaia to bug prepei
> na dinei remote code execution



Για το θέμα έχει ανοιξει συζήτηση και στην Full Disclosure λίστα. Λένε πολύ
σωστά πράγματα.
Αρχικά η λογική να πουλάς vulnerabilities σε εταιρίες ασφάλειας είναι
blackhat ιδεολογία, οπότε από την στιγμή που ένας blackhat μπορεί να
πουλήσει το exploit πάνω από 25000 δολάρια γιατί να το δώσει στην iDefence
με λιγότερα από τα μισά;
Ο ερευνητής σπαταλά χρόνο για να βρει ευπάθεια και να την χρησιμοποιήσει (να
φτιάξει exploit), η λογική λέει πως πρέπει να αποζημιωθεί αλλά τίθενται
αρκετά θέματα δεοντολογίας και ηθικής σε αυτό. Θα ενημερώσει πρώτα τον
vendor; Αν ναι πως θα το πουλήσει μετά; Αν το πουλήσει θεωρείται παράνομος
εφόσον το δίνει σε εταιρία ασφάλειας;

Τι να σας πω, τα θέματα είναι πολύ λεπτά. Εγώ εργάζομαι σε εταιρία ασφάλειας
της πληροφορίας και όλη η έρευνά μας μένει σε εμάς. Σπάνια ανακοινώνουμε
κάτι και αυτό γίνεται αν θίγεται πολύς κόσμος ή αν η ευπάθεια δεν είναι
κρίσιμη. Η πολιτική μας λέει πως μόνο οι πελάτες μας έχουν πρόσβαση (έμμεσα)
στις διορθώσεις των ευπαθειών που έχουμε ανακαλύψει. Αλλά αυτό είναι από την
σκοπιά της εταιρίας και όχι κάποιου ιδιώτη.

Τέλος, αν ο ερευνητής θέλει να εκμεταλλευθει το πρόβλημα που εντόπισε ίσως
να μπορεί να κερδίσει πολλά παραπάνω χρήματα με βρώμικους τρόπους. Στο
underground χώρο εμπορεύονται καθημερινά exploits τα οποία δίνουν πρόσβαση
σε οποιοδήποτε σύστημα αν δεν υπάρχουν σοβαρές δικλείδες ασφάλειας. Υπάρχουν
exploits που έχουν πουληθεί εκατοντάδες χιλιάδες δολάρια και παρήγαγαν
μεγαλύτερο κέρδος (βρώμικο πάντα), ας μην ξεχνάμε πως τα bot nets
ενοικιάζονται κατά 150-300 ευρώ την εβδομάδα, για να μην αναφερθούμε σε
απάτες μεγαλύτερου βελινεκούς.

Τέλοσπάντων, αυτά είναι πρόχειρα εκφρασμένες προσωπικές απόψεις. Είμαι
σίγουρος πως δεν θίγουν κανέναν αλλά η συζήτηση είναι πάντα επιθυμητή και
χρήσιμη!
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.owasp.org/pipermail/owasp-greece/attachments/20070117/c09ece3d/attachment.html 


More information about the Owasp-greece mailing list