Компания Verisign учредила (http://blogs.zdnet.com/security/?p=215) премию в размере 16 тысяч долларов за обнародование каждой, ранее неизвестной, уязвимости в одном из 6 приложений:
- Apache httpd
- Berkeley Internet Name Domain (BIND)
- Sendmail
- OpenSSH sshd
- Microsoft Internet Information (IIS) Server
- Microsoft Exchange Server
Главное условие - уязвимость должна приводить к возможности удаленного запуска кода в конфигурации приложений по умолчанию. Эксплоит должен работать для последнего релиза ПО с официальными обновлениями, проблемы тестовых версий не рассматриваются.URL: http://it.slashdot.org/article.pl?sid=07/05/18/189208
Новость: http://www.opennet.me/opennews/art.shtml?num=10845
щедрость большого брата не знает границ
>>VerisignЭто кто такие?
http://www.verisign.com/
ну щас милкософт хацкеры порвут на кусочки, как тузик грелку.
> милкософт хацкеры порвут
зиродей експлойт можно продать сильно дороже :)
Как и вчера и поза-позавчера :)
Заметьте...раньше в списка популярного ПО. MS IIS и MS Exchange не было...фиговая тенденция.
IIS6 не имел удалённых уязвимостей вообще. МС молодцы.
Б Шнаер в одной своей книге писал, что подобные соревнования это показуха.
Т.к. для специалистов это не деньги, а хакерская шпана не сможет обнаружить ничего серьезного.
>Б Шнаер в одной своей книге писал, что подобные соревнования это показуха.
>
>Т.к. для специалистов это не деньги, а хакерская шпана не сможет обнаружить
>ничего серьезного.Эта затея является ерундой ещё по одной причине. Просто тыкать снаружи чёрный ящик недостаточно. Такие испытания нужно проводить в качестве дополнения к анализу внутреннего устройства (алгоритмы, код). Иначе результат не показывает потенциально опасные бреши, а угроза безопасности - категория потенциальных событий а не свершившихся.
ну мелкого куснуть можно.. тока ради этого придется купить эти продукты, чтоб последние обновления скачать...а реальный эксплойт можно гораздо дороже продать... VeriSign эту затею для лохов организовала...
>>VeriSign эту затею для лохов организовала...Может они 0day-спойты перепродают...
>>Может они 0day-спойты перепродают...не знаю, как там было в оригинале (лень читать), но в русскоязычной версии написано _за _обнародование :) вопрос только, чо сначала - премия или обнародование...
>>Т.к. для специалистов это не деньги, а хакерская шпана не сможет обнаружить ничего серьезного.
специалисты - это такие старые хрычи с парой-тройкой высших образований?
на самом-то деле самая активная часть населения, ищущего дыры - это молодежь, зачастую школьного возраста. а для школьников (даже забугорных) 16 штук - неплохие бапки, хватит на пристойную машину (такой маленький прыщавый хакер, а уже с машиной!) или на что-то крутое айтишное. так что - почему бы нет?..