The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Zerodium готов выплатить миллион долларов за 0-day уязвимост..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от opennews (??) on 14-Сен-17, 11:12 
Компания Zerodium объявила (https://zerodium.com/tor.html) о запуске инициативы по выплате вознаграждений за выявление ранее неизвестных критических уязвимостей в Tor Browser, проявляющихся в окружении Tails Linux или Windows. Общий размер предоставляемых в рамках инициативы премий составляет миллион долларов США.

Например, за демонстрацию эксплоита, который позволяет выполнить код в системе размер премии составляет 185 тысяч долларов, если эксплоит может работать с выключенным JavaScript, и 85 тысяч долларов при включенном JavaScript. Если дополнительно продемонстрирована техника повышения привилегий до пользователя root, размер премии увеличивается до 250 и 125 тысяч долларов, соответственно.


В качестве причин учреждения премии упоминается желание помочь некоторым госклиентам в борьбе с криминалом. Т.е. выявленные уязвимости будут использоваться спецслужбами для организации деанонимизации пользователей Tor Browser. Следует отметить, что Zerodium недавно представил (https://twitter.com/Zerodium/status/900375820878749696) похожую инициативу с фондом 500 тысяч долларов для поиска  0-day уязвимостей в Signal, WhatsApp, Telegram, Viber, iMessage, Facebook Messenger и WeChat. В программу (https://zerodium.com/program.html) выплаты вознаграждений также входят nginx, apache httpd, dovecot, postfix, sendmail, OpenSSL, WordPress, Joomla, Drupal, Thunderbird, Firefox, Chrome и многие другие открытые проекты.


URL: https://zerodium.com/tor.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=47199

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +2 +/
Сообщение от Аноним (??) on 14-Сен-17, 11:12 
>выполнить код в системе размер премии составляет 185 тысяч долларов, если эксплоит может работать с выключенным JavaScript
>185 тысяч долларов
>с выключенным JavaScript

Верю!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +1 +/
Сообщение от Аноним (??) on 15-Сен-17, 14:36 
CSS эксплоиты!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  –11 +/
Сообщение от proud_anon on 14-Сен-17, 11:13 
"cybersecurity veterans" не осилили сорцы... бяда-бяда. Однако, остается открытым вопрос - кого именно госчиновники сочтут преступниками и почему остальные пользователи должны быть деанонимизированы? Будут ли делиться "их" чиновники эксплоитами с "нашими". Но, в любом случае: Спасибо, не нужно! Найдут полтора инвалида-педофила, а оставшиеся будут их персональными рабами с зондами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +6 +/
Сообщение от Аноним (??) on 14-Сен-17, 12:29 
т.е. ты считаешь, что чтобы найти уязвимость достаточно уметь читать сорцы?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +2 +/
Сообщение от Аноним (??) on 14-Сен-17, 13:36 
ну если вголове идеальная машина Тюринга...
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

25. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +1 +/
Сообщение от angra (ok) on 14-Сен-17, 23:10 
Идеальная машина Тьюринга работает с бесконечной лентой. Содержимое головы конечно. Так что идеальная машина Тьюринга в ней невозможна в принципе. Более того, она невозможна вообще в нашей вселенной, так как сама вселенная тоже конечна.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

26. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +3 +/
Сообщение от Физик теоретик on 14-Сен-17, 23:21 
> так как сама вселенная тоже конечна

Позвольте с вами не согласиться.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

45. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Аноним (??) on 23-Сен-17, 18:17 
Не надо путать, бесконечным может быть пространство в котором "развернута" вселенная, но не сама вселенная.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

20. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Аноним (??) on 14-Сен-17, 18:43 
>кого именно госчиновники сочтут преступниками

Очевидно же - саму zerodium ломанут и получат все остальные эксплоиты беплатно.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

23. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +2 +/
Сообщение от Аноним (??) on 14-Сен-17, 22:18 
> кого именно госчиновники сочтут преступниками

Лучше сказать, не сочтут, а ОБЪЯВЯТ.
Что они там считают на самом деле, трудно узнать достоверно.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +4 +/
Сообщение от Аноним (??) on 14-Сен-17, 11:13 
""" security-фирма Zerodium, которая специализируется на покупке эксплойтов у security-ресерчеров""" Они перекупы багов? =)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Аноним (??) on 14-Сен-17, 12:42 
кто-то хату нормальную себе купит...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +9 +/
Сообщение от RobotsCantPoop on 14-Сен-17, 13:02 
А тем кто вычислит откуда у Zerodium лям бачей вылатят два ляма?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +4 +/
Сообщение от Аноним (??) on 14-Сен-17, 13:21 
И отправят отдыхать на кубинский остров, в столь всем полюбившееся заведение
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +3 +/
Сообщение от бедный буратино (ok) on 14-Сен-17, 13:06 
способ 1-й - найти уже имеющуюся уязвимость

способ 2-й - закоммититить уязвимость так, чтобы никто не заметил

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от нах on 18-Сен-17, 09:13 
> способ 1-й - найти уже имеющуюся уязвимость
> способ 2-й - закоммититить уязвимость так, чтобы никто не заметил

за эти деньги? (закоммитить ты сможешь только дешевую, к тому же)
да они охренели.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +1 +/
Сообщение от Мадара (ok) on 14-Сен-17, 13:56 
Молодцы, тонко действуют. Объявили охоту на общественно значимый опенсорсный код во благо американской демократии.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Аноним (??) on 15-Сен-17, 04:06 
Скорее всего Zerodium - это headhunter'ы американской демократии, которые ищют допытливые умы. "Черный вертолет" уже вылетел за вами
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Admino (ok) on 14-Сен-17, 14:03 
А смысл. Ведь после публикации уязвимости её, естественно, закроют. А кто помешает White hat опубликовать эту уязвимость после получения денег? Да никто. Странно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +3 +/
Сообщение от Мадара (ok) on 14-Сен-17, 14:08 
грузовик
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Zarat (ok) on 14-Сен-17, 14:23 
Ну так там наверняка условия получения денег: деанонимизация и подпись NDA. Анониму в битках никдо денег не даст.
Тут вопрос еще, а они индусам и китайцам (и местным аналитикам) вообще собираются давать деньги? Или прокатят как фейсбук арабского программиста?
Т.е. надо еще доказывать, что понадобишься им в будущем
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

27. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Admino (ok) on 15-Сен-17, 00:00 
NDA-то она NDA, но если кто-то другой найдёт эту же уязвимость, то что?

И с юрисдикцией тоже непонятно.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

36. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от нах on 18-Сен-17, 09:11 
> Ну так там наверняка условия получения денег: деанонимизация

ага, платить они собираются wire transfer.

> Тут вопрос еще, а они индусам и китайцам (и местным аналитикам) вообще собираются давать
> деньги?

написано что да. Северокорейцам и намкрышцам - нет (логично, какой еще wire transfer туда)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Аноним (??) on 14-Сен-17, 14:30 
Человек который найдёт вредный код и продаст его должен будет подписать договор о не разглашении, а если кто-то другой раскроет, то к подписанту всё равно придут и он будет доказывать что не верблюд.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  –1 +/
Сообщение от dr Equivalent (ok) on 14-Сен-17, 15:17 
> В качестве причин учреждения премии упоминается желание помочь некоторым госклиентам в борьбе с криминалом.

Классика.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Анотоним on 14-Сен-17, 19:05 
Будет как в прошлый раз "это не уязвимость а фича"?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Карычъ on 14-Сен-17, 19:41 
Пруфлинк про "прошлый раз"?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

30. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  –1 +/
Сообщение от Аноним (??) on 15-Сен-17, 04:37 
https://www.macworld.com/article/3225110/hardware/iphone-x-f...
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  –1 +/
Сообщение от Аноним (??) on 14-Сен-17, 22:56 
За $85k (в хорошем случае за $250k) на всю оставшуюся жизнь остаться под колпаком?

Хотя, скорее всего, трудоустроят не совсем плохо.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Anonimous on 15-Сен-17, 02:01 
Думаешь стоит рискнуть?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

31. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Zarat (ok) on 15-Сен-17, 06:47 
> За $85k (в хорошем случае за $250k) на всю оставшуюся жизнь остаться
> под колпаком?
> Хотя, скорее всего, трудоустроят не совсем плохо.

Вполне возможно, что устроят хорошо. Как Мыщха. Только, чтобы не закончить как он, просто не надо играться со спидами

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

38. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от пох on 18-Сен-17, 16:33 
не понял, а если спиды нельзя, с этими не кури, сюда не ходи, то чо хорошего в этом трудоустройстве?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

44. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Zarat (ok) on 21-Сен-17, 22:07 
> не понял, а если спиды нельзя, с этими не кури, сюда не
> ходи, то чо хорошего в этом трудоустройстве?

Так, в том то и дело, что спиды можно (если тихо, ведь никто сильно искать не будет), но под спидами, или под маниакальной фазой БАР, спидами вызванной, ну уж очень хочется рискованно полетать. И кто тогда вам лекарь?
> спиды нельзя, с этими не кури, сюда не ходи,

это больше про здесь, а не там. И к этому уже привычно. А получив свободу, можно не знать, где кроется опасность

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

33. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Lolwat on 16-Сен-17, 22:13 
Во первых они не выплатят всю сумму сразу, там хитрости свои, выплата растянута на 5-10 лет, в случае если уязвимость опубликована в течение этого времени то они имею право остановить выплаты. Второе, ты должен полностью документировать  все и переслать им, а они решат будут ли вообще платить или нет, то есть, если захотят то могут и кинуть всех.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Lolwat on 16-Сен-17, 22:16 
А ну и в 3х, они по сути барыги, найденые уязвимости могут перепродать кому угодно: NSA, CIA, России, Китайцам, да хоть google если заплатят.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от нах on 18-Сен-17, 09:04 
> Во первых они не выплатят всю сумму сразу, там хитрости свои,
> выплата растянута на 5-10 лет,

упс... расходимся, пацаны - не выиграл, а проиграл, не лям, а всего 85 тыщ за наиболее вероятную уязвимость (что может и несколько выше yrly salary приличного специалиста, но не в разы), а теперь еще и выясняется - что в течении десяти лет и если очсень повезет и никто другой не найдет? Да я сдавая хакнутых лохов поштучно тов.майору подниму больше, и беспалева, в отличие от этих.

какие-то они феерично тупые и жадные, и да - "we only acquire vulnerabilities proven to be exploitable i.e. accompanied by a fully functional exploit". То есть сами написать и быстренько проверить они не умеют, все разжевать и в ротик положить - такие вот cybersecurity veterans.

veteran scriptkiddies.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

39. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Lolwat on 18-Сен-17, 18:15 
Про 10 лет я соврал, на самом деле от 12 месяцев до 3х лет
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

40. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Аноним (??) on 18-Сен-17, 18:34 
На самом деле важно другое - существует вариант кидка, а это  пообиднее долгосрочных выплат! И если даже есть 1% того что это произойдет, то накой влезать в этот блудняк?
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от нах on 18-Сен-17, 21:00 
> На самом деле важно другое - существует вариант кидка

э... в смысле, купить билет и не поехать?
Автор эксплойта всегда может их кинуть, просто разгласив уязвимость (и претензии хрен предъявишь), соответственно, сделав ее для них бесполезной. Поэтому не заплатить они не могут - если, конечно, оный эксплойт им нужен.

но это, оказывается, лотерея, а не big bounty - мало найти, надо чтоб еще никто другой не нашел через месяц то же самое. (даже 12 месяцев - за которые, опять же, можно с доверчивых лохов чего натрясти и самому)

> И если даже есть 1% того что это произойдет, то накой влезать в этот блудняк?

за $85000 сравнительно легальных денег, разумеется.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

41. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от Аноним (??) on 18-Сен-17, 18:37 
Попахивает вбросом, как со Skype началась компания слухов о взломе. Не можешь победить, нужно дескредитировать. Так дешевле. Госструктурам дешевле будет физически пообщаться с персонажем, который попал в поле зрения, чем выплачивать примии за непонятные эксплоиты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Zerodium готов выплатить миллион долларов за 0-day уязвимост..."  +/
Сообщение от нах on 18-Сен-17, 21:04 
> Госструктурам дешевле будет физически
> пообщаться с персонажем, который попал в поле зрения,

не все ж такие лохи, как Шалтай, надеющиеся на ФСБшную крышу - с некоторыми пообщаться может не получиться.

А вот деанонимизировать при помощи эксплойтов - вполне могут. И дальше уже перейдут к физическому общению.


Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor