utorak, 27. ožujka 2012.

Zaradite lovu na bugovima

Postoje hakeri kojima je glavni cilj nanošenje štete web stranicama određenih institucija zbog raznih društvenopolitičkih razloga, poput Anonimnih, LulzSec i sličnih grupa, koje bi se više moglo nazvati ekstremnim aktivistima građanskih grupa nego cyber kriminalcima. Druga grupa su oni koji će vam srušiti web samo zato da bi dokazali da to mogu, a treći su čisti kriminalci koji će nastojati zaraditi na taj način da će vas pokušati ucijeniti, nakon što vam sruše web, ili pokupe osjetljive poslovne ili privatne podatke.

S druge strane "ogledala hakiranja", nalaze se oni takozvani "hakeri bijelog šešira", koji pronalaze sigurnosne propuste u programima, aplikacijama, web stranicama i mrežnim sustavima, kako bi upozorili tvrtke i organizacije na razne bugove, a javnost ih obično prikazuje kao superheroje koji svoje znanje hakiranja koriste isključivo za dobre svrhe.

Kao što ni u životu sve ne funkcionira crno-bijelo, često se mnogi hakeri isprepliću između tih grupa, a ni svi "bijeli hakeri" dobrim dijelom ne čine dobra djela zabadava.

Veliki dio tih etičkih hakera se zapošljava kod raznih tvrtki s ciljem testiranja njihovih sustava, a sve češća je i pojava onih koji lijepe novce zarađuju prodavanjem exploita raznim velikim tvrtkama poput Googlea, Microsofta i Applea.

Na taj način, haker nakon razvaljivanja koda neke web stranice ili operativnog sustava novog uređaja tipa iPad 3, umjesto da samo za slavu prijavljuje rupe Appleu, može svoje otkriće prijaviti na web ZeroDayIniciative, preko kojeg će mu tvrtke isplaćivati i više desetaka tisuća dolara po pronađenom bugu.

Kako bi ilustrirao kolika lova leži u prijavljivanju bugova, časopis Forbes je objavio cjenik za exploite koje hakeri prodaju preko raznih "hakerskih posrednika", koji od svakog posla uzimaju proviziju za postignute dogovore.

Cjenik:


Forbes je razgovarao s jednim od tih posrednika, osobom iz Bangkoka pod imenom Grugq, koji kaže da je u zadnjih godinu dana zaradio milijun dolara, uzimajući 15% od svakog posredovanja između hakera i tvrtki. Ujedno je izjavio kako je prošli mjesec sklopio jedan dogovor s američkim kupcem koji je neimenovanom hakeru iOS-a donio 250 tisuća dolara zarade.

Da, dobro ste pročitali, radi se o "jednom američkom kupcu", a ne direktno Appleu, što znači da cvate i biznis prema "trećoj strani".

Kako bi se ova trgovina zakonski pokrila, odmah nakon sklapanja posla i uzimanja novca, pravilo je da se o propustu trenutno obavijesti proizvođač/distributer softvera ili vlasnik weba, pa hakeri koji im to dojave automatski postaju veliki bijeli vitezovi u njihovim očima i očima javnosti, mada iza njihovog rada stoje malo šuškavi motivi.

Cijene exploita se razlikuju o tome koliko se nešto koristi (kolika je posjećenost weba ili koliki broj korisnika softvera), te po težini izazova za hakiranje.

Tako na primjer manje love možete dobiti za hakiranje Mac OS-a nego za Windowse, ali ćete zato puno više dobiti za iOS nego za Android, jer Appleov mobilni OS ima bolju zaštitu od Googleovog.

Grugq kaže da su najveći kupcu bugova vlade SAD-a i zemalja EU, dok Kinezi imaju loš utjecaj na ovaj biznis, jer stalno spuštaju cijene, a s Rusima nitko ne želi raditi zbog straha od ruske mafije. 

1 komentar:

Poruka će biti vidljiva nakon provjere.