Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Są też Bug Bounty dla cyberprzestępców. Właśnie ktoś płaci równowartość 400 000 PLN za hackowanie banków, kompani paliwowych, …
Tutaj krótka relacja w temacie ogłoszenia oferującego ~100 000 USD za hackowanie stosownych celów. A cele te są polityczne:
The idea is to pay other hackers who carry out politically motivated hacks against companies that could lead to the disclosure of documents in the public interest.
I’m not trying to make anyone rich. I’m just trying to provide enough funds so that hackers can make a decent living doing a good job.
Warto zaznaczyć, że chodzi o płacenie za przestępstwo. Gdzieś po środku można umiejscowić programy tego typu (skup 0-dayów). Z kolei po drugiej stronie barykady znajdują się standardowe programy bug bounty. Jak widać, hackerzy każdego nurtu mają rozmaite opcje na spieniężenie swojej wiedzy. Kto wie, może za jakiś czas spowoduje to przynajmniej bardzo życzliwe reagowanie na zupełnie bezinteresowne zgłaszanie podatności firmom? Obecnie naprawdę różnie z tym bywa…
–ms
To w sumie jest dobra myśl – wbić się i kompletnie sparaliżować BP albo Shell może doprowadzając do ich upadku w odwecie za zniszczenia planety jakich dokonali. Podoba mi się.
A płacą za namierzanie piratów używających torrentow ?
Zła strona Bug-Bounty to fakt iż tworzą one iluzje bezpieczeństwa.
Rozważcie sytuacje dużego portalu który płaci od 10 000 dolarów za XSS-y, co robią ludzie ? Gdybym miał zajmować się tego typu działalnością jako bug-hunter to skupił bym się wyłącznie na szukaniu XSS-ów, i czy będziemy wchodzić w dyskusję czy trzeba mieć zaawansowane umiejętności czy też nie aby „szukać xss-ów” to obiektywnie jest to tylko mały fragment jednej z powierzchni ataku na organizacje. Kiedy jednak firmy płacą określone sumy za daną klasę błędów to może się okazać, że większość ludzi niczego innego nie szuka i mamy statystyki rzędu tysięcy wyprowadzonych błędów i milionów wypłaconych dolarów podczas gdy tak naprawdę cały program eliminuje tylko „low-hanging friuts” ?