Comments | arkanoid: Я вынужден признать, что несколько ошибался,

arkanoid

Я вынужден признать, что несколько ошибался,

Sep 04, 2016 15:08

когда говорил, что разработчики "кибероружия" и шпионских программ для правительственных нужд ничем не отличаются от блэкхетов и не имеют ни малейшейшего права на какой-либо специальный статус как юридически, так и морально ( Read more... )

security, law, government

Leave a comment

Back to all threads

karpion September 4 2016, 18:28:42 UTC

Разработчики "кибероружия" и шпионских программ юридически защищены - ибо законы устанавливает государство. Так что Вы можете говорить только про их моральные отличия (или про отсутствие оных отличий), и то только про себя, а не про всё человечество.

Лично для меня - те, кто имеют деньги и способны нанять блэкхэтов, мало чем лучше государства. А то и хуже - когда как.

arkanoid September 4 2016, 18:59:39 UTC

В России, например, я не вижу в статье 273 УК никаких исключений для особо равных животных.

Насчет лучше-хуже: поясню мысль как могу просто: у блэкхета НЕТ технической возможности проводить каждому покупателю bakckground check, чтобы не продать случайно "хорошему парню", который спалит зиродей вендору. Зато сраное государство отлично о таких вещах заботится. Поэтому государство по определению ВСЕГДА ХУЖЕ.

karpion September 5 2016, 16:48:37 UTC

Хак по приказу государства не есть что-то вредоносное. Это и есть юридическая защита.

Интересно, как часто хорошие парни покупают у блэкхета зиродей? Можно ли рассматривать это явление как существенно отличное от нуля?

arkanoid September 5 2016, 17:56:42 UTC

Да, можно.

Мало того, я бы рекомендовал всем это делать. Это самая эффективная стратегия на сегодняшний день.

karpion September 5 2016, 19:01:59 UTC

За свой счёт покупать? А на фига, если вендоры не платят?

arkanoid September 5 2016, 19:22:08 UTC

В смысле, вендорам бы рекомендовал. За свой-то счет кому оно надо.

ext_3134488 September 8 2016, 13:22:37 UTC

Та ну, нету в реальной жизни такой практики от слова совсем.
Все мои попытки (да и не только мои) продать 0day уязвимость вендору уязвимого продукта заканчивались как-то так: "Да, уязвимость серьезная. Да, мы заинтересованы в сотрудничестве с целью ее исправления. Нет, денег не дадим, можем только публично спасибо сказать. Как нахуй идти?".
В тех направлениях которые нужны больше для фана чем для денег я пытаюсь выстраивать модель сотрудничества согласно которой вендор становится спонсором моих исследований в обмен на early access к их результатам -- успехи есть, но на фоне ебического кол-ва затраченных усилий они выглядят более чем скромно.

arkanoid September 8 2016, 17:08:15 UTC

Слушай, если у условного Google или Apple есть выбор -- отвалить пол миллиона баксов за зиродей, или видеть, как его купит очередной NSO Group и будет полтора года пялить их под хвост -- если безопасник не сможет обосновать эти сраные пол ляма из бюджета, я не понимаю, что он там делает и на что у них уходят остальные деньги.

И они очень быстро это поймут, когда пройдутся по этим граблям еще пару раз.

ext_3134488 September 8 2016, 18:13:58 UTC

Что-то условные Apple и Google не спешат отваливать по пол миллиона баксов за 0деи.

arkanoid September 8 2016, 18:25:40 UTC

Будут. И важно не закрывать им эти возможности кретинскими лицемерными ограничениями.

ext_3134488 September 8 2016, 18:51:11 UTC

Ресерчеры как раз-таки заинтересованы в том, что бы продавать баги именно вендору а не госам: в случае с госами у них драконовский NDA который запрещает разглашать инфу об уязвимости даже после ее закрытия.

ext_3134488 September 8 2016, 13:06:30 UTC

И таки где мне найти этого мифического хорошего парня который купит у меня зеродей и передаст его вендору (вопрос, если что, не риторический)?
В реальной жизни у блекхета будет выбор только между тем что бы отдать вендору за бесплатно (только не надо мне тут рассказывать про баг баунти программы, это редкостное наебалово) и тем что бы продать государству.

arkanoid September 8 2016, 17:04:45 UTC

А ему не надо об этом думать.

Речь о том, что если вендор не мудак, он сам купит. А если мудак и не купит, то сам себе злое буратино.

И нет, у него выбор проще: он продает по рыночной цене, не зная, кто покупатель: он может быть государством, может быть малварищиком, может быть промышленным шпионом, а может быть агентом вендора.

ext_3134488 September 8 2016, 18:11:53 UTC

> Речь о том, что если вендор не мудак, он сам купит. А если мудак и не купит, то сам себе злое буратино.

Так не хотят вендоры покупать 0деи у исследователей, в этом и проблема. Есть только баг баунти со смешными суммами (типа, $5-20k) и наглухо неадекватными условиями в духе "сначала предоставьте нам полную инфу об уязвимости а там мы сами решим заплатим ли за это и сколько именно".

arkanoid September 8 2016, 18:22:35 UTC

Вопрос времени. Рано или поздно им надоест, что их ебут и будут платить.

Потому что дураков сдавать за двадцатник то, за что дают сотни будет не очень -то много. А значит, или вписывайся в рынок или теряй еще больше. И кто-то из двоих должен это сделать первым. Скорее всего, это будет Apple, потому что гугл уже слишком большой и тупой. А там глядишь и микрософт подтянется.

Кто-то должен начать считать деньги. Потому что гугловая команда безопасников небось на расходники для сортира за год тратит больше денег.

ext_3134488 September 8 2016, 18:25:57 UTC

> Вопрос времени.

Хотелось бы знать какого именно. Рынок зиродеев существует довольно давно: например, с момента истории про Чарли Миллера и новую кухню прошло уже почти 10 лет.

Back to all threads