[Owasp-greece] Lefta gia Exploitation

E. Kellinis e.kellinis at gmail.com
Wed Jan 17 08:55:59 EST 2007


h 3com einai allh mia eteria pou dinei lefta gia kati tetoio ,
einai prosopiko thema tou kathenos an thelei na poulisei h oxi exploits

kai simfwno me to Milto peri ithikis, vevaia auto einai kati pou mporei
na aniksei allo thema sizitishs.




On 17/01/07, Miltos SSDD <ssdd.gr at gmail.com> wrote:
>
>
> 2007/1/17, E. Kellinis <e.kellinis at gmail.com>:
> >
> http://labs.idefense.com/vcp/challenge.php#more_q1+2007%3A+vulnerability+challenge
> >
> > Challenge Focus: Remote Arbitrary Code Execution Vulnerabilities in Vista
> & IE 7.0
> > Time Period: Q1, 2007
> > Prize Amount: $8,000 - $12,000
> > Submission Deadline: Before Midnight EST on March 31, 2007
> >
> > h iDefence me to Exploit to be paid  sistima ksekinise to 2007
> > gia kathe security bug pou vriskete  dinoun $8,000 , vevaia to bug prepei
> na dinei remote code execution
>
>
> Για το θέμα έχει ανοιξει συζήτηση και στην Full Disclosure λίστα. Λένε πολύ
> σωστά πράγματα.
> Αρχικά η λογική να πουλάς vulnerabilities σε εταιρίες ασφάλειας είναι
> blackhat ιδεολογία, οπότε από την στιγμή που ένας blackhat μπορεί να
> πουλήσει το exploit πάνω από 25000 δολάρια γιατί να το δώσει στην iDefence
> με λιγότερα από τα μισά;
> Ο ερευνητής σπαταλά χρόνο για να βρει ευπάθεια και να την χρησιμοποιήσει (να
> φτιάξει exploit), η λογική λέει πως πρέπει να αποζημιωθεί αλλά τίθενται
> αρκετά θέματα δεοντολογίας και ηθικής σε αυτό. Θα ενημερώσει πρώτα τον
> vendor; Αν ναι πως θα το πουλήσει μετά; Αν το πουλήσει θεωρείται παράνομος
> εφόσον το δίνει σε εταιρία ασφάλειας;
>
> Τι να σας πω, τα θέματα είναι πολύ λεπτά. Εγώ εργάζομαι σε εταιρία ασφάλειας
> της πληροφορίας και όλη η έρευνά μας μένει σε εμάς. Σπάνια ανακοινώνουμε
> κάτι και αυτό γίνεται αν θίγεται πολύς κόσμος ή αν η ευπάθεια δεν είναι
> κρίσιμη. Η πολιτική μας λέει πως μόνο οι πελάτες μας έχουν πρόσβαση (έμμεσα)
> στις διορθώσεις των ευπαθειών που έχουμε ανακαλύψει. Αλλά αυτό είναι από την
> σκοπιά της εταιρίας και όχι κάποιου ιδιώτη.
>
> Τέλος, αν ο ερευνητής θέλει να εκμεταλλευθει το πρόβλημα που εντόπισε ίσως
> να μπορεί να κερδίσει πολλά παραπάνω χρήματα με βρώμικους τρόπους. Στο
> underground χώρο εμπορεύονται καθημερινά exploits τα οποία δίνουν πρόσβαση
> σε οποιοδήποτε σύστημα αν δεν υπάρχουν σοβαρές δικλείδες ασφάλειας. Υπάρχουν
> exploits που έχουν πουληθεί εκατοντάδες χιλιάδες δολάρια και παρήγαγαν
> μεγαλύτερο κέρδος (βρώμικο πάντα), ας μην ξεχνάμε πως τα bot nets
> ενοικιάζονται κατά 150-300 ευρώ την εβδομάδα, για να μην αναφερθούμε σε
> απάτες μεγαλύτερου βελινεκούς.
>
> Τέλοσπάντων, αυτά είναι πρόχειρα εκφρασμένες προσωπικές απόψεις. Είμαι
> σίγουρος πως δεν θίγουν κανέναν αλλά η συζήτηση είναι πάντα επιθυμητή και
> χρήσιμη!
>
>
>
> _______________________________________________
> Owasp-greece mailing list
> Owasp-greece at lists.owasp.org
> http://lists.owasp.org/mailman/listinfo/owasp-greece
>
>
>


More information about the Owasp-greece mailing list