Компания Trend Micro объявила (https://www.zerodayinitiative.com/blog/2018/7/24/announcing-...) о расширении инициативы Zero Day Initiative (ZDI) и представила список проектов, за выявление уязвимостей в которых выплачиваются вознаграждения. За выявление ранее неизвестной уязвимости в NGINX или Apache httpd, которая может быть эксплуатирована в окружении Ubuntu Server 18.04, исследователь может получить вознаграждение в размере 200 тысяч долларов США. За уязвимости в WordPress предусмотрена награда в 35 тысяч долларов, а в
Joomla и Drupal - 25 тысяч долларов.URL: https://www.zerodayinitiative.com/blog/2018/7/24/announcing-...
Новость: https://www.opennet.me/opennews/art.shtml?num=49026
Круто! Пойду зарабатывать!
А почему нет?
В той же ElementaryOS есть "ошибки с наградами", там полагается награда в $ за решение проблем:
https://elementary.io/ru/get-involved#desktop-development
Бизнес-план:
1. Втираешься в доверие
2. Проталкиваешь патч с уязвимостью
3. Находишь ее
4. PROFIT
делиться не забывай, благо всяких криптотем для правильного дележа уже навалом придумано, и, в общем-то, втираться не придется - я тоже хочу свою долю от 200
что-то я не понял, за что они так жумлу c дурпалкой обидели...
типа, с врот-пресса понратырить на 25 могут и без их помощи, поэтому награда повыше, а этих никому не жалко, берите сколько предложено, а то и это зажмем...
Отличный план! Покупаешь всего за 200к$ 0-day широко распространненого софта, заставляя продавца подписать NDA, и юзаешь/продаешь тулзой в даркнете на миллионы.
зачем? Покупаешь, вставляешь в свой ng-фиревол, антивирус и прочую ботву, и получаешь миллионы (ознакомься на досуге с ценником) совершенно легально и без геморроя (и без лишнего риска для продавца, поэтому ему есть смысл с тобой сотрудничать, даже слегка потеряв в деньгах) - даже не надо никакого nda - чем больше дряни in the wild, тем нужнее твой продукт.нет, если ты думаешь, что в даркнете заплатят больше - ты можешь пытаться продать свой эксплойт напрямую э...пользователям. Но что-то я сомневаюсь, что тебе заплатят хотя бы 25килоуе за жумлу. Вот сдать куда-надо - вполне могут.
вот обратный вариант вполне работает - то есть если ты наляпал zero-day под конкретный заказ - там могут быть и совсем другие деньги, ты их получил, но ты же не обещаешь заказчику, что он вечно сможет пользоваться этим эксплойтом - попользовал, и будет - теперь продадим его трендмикре - опять же, все довольны, взломанный банчок недоволен - это его проблемы, ну не успел файрвол обновиться, бывает.
А сколько неозвученные уязвимости стоят на чёрном рынке? Хотя бы порядок величин :).
> А сколько неозвученные уязвимости стоят на чёрном рынке? Хотя бы порядок величин
> :)."до четырёх лет"
А где речь про распространение ?
#>>>стоят на чёрном рынке?
> А где речь про распространение ?Тебе лояр в сизо расскажет.
"" Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для ""
> Компания Trend MicroЭто поставщик зонда от американских спецслужб? Спасибо, но нет. Даже за деньги таким ребятам не помогаю. А уж делать вид что они позволят кому-то залатать свои самые глубокие зонды - ну смешно до слез. :)
Разработчикам вордпресса, друпала и джумлы хороший способ поднять бабла) достаточно по тихому впилить дырку в свой апстрим, дождаться ZDI и доблестно её обнаружить.Оп, и 25 килобаксов заработали, можно готовить закладку к следующему ZDI
Платят только за найденные дыры, то есть даже искать нет желание ибо это унижение и цинизм. Лучше продовать экспонаты и пейлоадеры в даркнете.