| 1.1, Аноним (-), 11:12, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
>выполнить код в системе размер премии составляет 185 тысяч долларов, если эксплоит может работать с выключенным JavaScript
>185 тысяч долларов
>с выключенным JavaScript
Верю!
| | |
| 1.2, proud_anon (?), 11:13, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –11 +/– |
"cybersecurity veterans" не осилили сорцы... бяда-бяда. Однако, остается открытым вопрос - кого именно госчиновники сочтут преступниками и почему остальные пользователи должны быть деанонимизированы? Будут ли делиться "их" чиновники эксплоитами с "нашими". Но, в любом случае: Спасибо, не нужно! Найдут полтора инвалида-педофила, а оставшиеся будут их персональными рабами с зондами.
| | |
| |
| 2.4, Аноним (-), 12:29, 14/09/2017 [^] [^^] [^^^] [ответить]
| +6 +/– |
т.е. ты считаешь, что чтобы найти уязвимость достаточно уметь читать сорцы?
| | |
| |
| |
| 4.25, angra (ok), 23:10, 14/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Идеальная машина Тьюринга работает с бесконечной лентой. Содержимое головы конечно. Так что идеальная машина Тьюринга в ней невозможна в принципе. Более того, она невозможна вообще в нашей вселенной, так как сама вселенная тоже конечна.
| | |
| |
| |
| 6.45, Аноним (-), 18:17, 23/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
Не надо путать, бесконечным может быть пространство в котором "развернута" вселенная, но не сама вселенная.
| | |
|
|
|
|
| 2.20, Аноним (-), 18:43, 14/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
>кого именно госчиновники сочтут преступниками
Очевидно же - саму zerodium ломанут и получат все остальные эксплоиты беплатно.
| | |
| 2.23, Аноним (-), 22:18, 14/09/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> кого именно госчиновники сочтут преступниками
Лучше сказать, не сочтут, а ОБЪЯВЯТ.
Что они там считают на самом деле, трудно узнать достоверно.
| | |
|
| 1.3, Аноним (-), 11:13, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
""" security-фирма Zerodium, которая специализируется на покупке эксплойтов у security-ресерчеров""" Они перекупы багов? =)
| | |
| |
| 2.8, Аноним (-), 13:21, 14/09/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
И отправят отдыхать на кубинский остров, в столь всем полюбившееся заведение
| | |
|
| 1.7, бедный буратино (ok), 13:06, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 способ 1-й - найти уже имеющуюся уязвимость
способ 2-й - закоммититить уязвимость так, чтобы никто не заметил
| | |
| |
| 2.37, нах (?), 09:13, 18/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> способ 1-й - найти уже имеющуюся уязвимость
> способ 2-й - закоммититить уязвимость так, чтобы никто не заметил
за эти деньги? (закоммитить ты сможешь только дешевую, к тому же)
да они охренели.
| | |
|
| 1.10, Мадара (ok), 13:56, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Молодцы, тонко действуют. Объявили охоту на общественно значимый опенсорсный код во благо американской демократии.
| | |
| |
| 2.29, Аноним (-), 04:06, 15/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
Скорее всего Zerodium - это headhunter'ы американской демократии, которые ищют допытливые умы. "Черный вертолет" уже вылетел за вами
| | |
|
| 1.11, Admino (ok), 14:03, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А смысл. Ведь после публикации уязвимости её, естественно, закроют. А кто помешает White hat опубликовать эту уязвимость после получения денег? Да никто. Странно.
| | |
| |
| 2.13, Zarat (ok), 14:23, 14/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
 Ну так там наверняка условия получения денег: деанонимизация и подпись NDA. Анониму в битках никдо денег не даст.
Тут вопрос еще, а они индусам и китайцам (и местным аналитикам) вообще собираются давать деньги? Или прокатят как фейсбук арабского программиста?
Т.е. надо еще доказывать, что понадобишься им в будущем
| | |
| |
| 3.27, Admino (ok), 00:00, 15/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
NDA-то она NDA, но если кто-то другой найдёт эту же уязвимость, то что?
И с юрисдикцией тоже непонятно.
| | |
| 3.36, нах (?), 09:11, 18/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну так там наверняка условия получения денег: деанонимизация
ага, платить они собираются wire transfer.
> Тут вопрос еще, а они индусам и китайцам (и местным аналитикам) вообще собираются давать
> деньги?
написано что да. Северокорейцам и намкрышцам - нет (логично, какой еще wire transfer туда)
| | |
|
| 2.14, Аноним (-), 14:30, 14/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
Человек который найдёт вредный код и продаст его должен будет подписать договор о не разглашении, а если кто-то другой раскроет, то к подписанту всё равно придут и он будет доказывать что не верблюд.
| | |
|
| 1.15, dr Equivalent (ok), 15:17, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 > В качестве причин учреждения премии упоминается желание помочь некоторым госклиентам в борьбе с криминалом.
Классика.
| | |
| 1.24, Аноним (-), 22:56, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
За $85k (в хорошем случае за $250k) на всю оставшуюся жизнь остаться под колпаком?
Хотя, скорее всего, трудоустроят не совсем плохо.
| | |
| |
| 2.31, Zarat (ok), 06:47, 15/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> За $85k (в хорошем случае за $250k) на всю оставшуюся жизнь остаться
> под колпаком?
> Хотя, скорее всего, трудоустроят не совсем плохо.
Вполне возможно, что устроят хорошо. Как Мыщха. Только, чтобы не закончить как он, просто не надо играться со спидами
| | |
| |
| 3.38, пох (?), 16:33, 18/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
не понял, а если спиды нельзя, с этими не кури, сюда не ходи, то чо хорошего в этом трудоустройстве?
| | |
| |
| 4.44, Zarat (ok), 22:07, 21/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> не понял, а если спиды нельзя, с этими не кури, сюда не
> ходи, то чо хорошего в этом трудоустройстве?
Так, в том то и дело, что спиды можно (если тихо, ведь никто сильно искать не будет), но под спидами, или под маниакальной фазой БАР, спидами вызванной, ну уж очень хочется рискованно полетать. И кто тогда вам лекарь?
> спиды нельзя, с этими не кури, сюда не ходи,
это больше про здесь, а не там. И к этому уже привычно. А получив свободу, можно не знать, где кроется опасность
| | |
|
|
|
| 1.33, Lolwat (?), 22:13, 16/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Во первых они не выплатят всю сумму сразу, там хитрости свои, выплата растянута на 5-10 лет, в случае если уязвимость опубликована в течение этого времени то они имею право остановить выплаты. Второе, ты должен полностью документировать все и переслать им, а они решат будут ли вообще платить или нет, то есть, если захотят то могут и кинуть всех.
| | |
| |
| 2.34, Lolwat (?), 22:16, 16/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
А ну и в 3х, они по сути барыги, найденые уязвимости могут перепродать кому угодно: NSA, CIA, России, Китайцам, да хоть google если заплатят.
| | |
| 2.35, нах (?), 09:04, 18/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Во первых они не выплатят всю сумму сразу, там хитрости свои,
> выплата растянута на 5-10 лет,
упс... расходимся, пацаны - не выиграл, а проиграл, не лям, а всего 85 тыщ за наиболее вероятную уязвимость (что может и несколько выше yrly salary приличного специалиста, но не в разы), а теперь еще и выясняется - что в течении десяти лет и если очсень повезет и никто другой не найдет? Да я сдавая хакнутых лохов поштучно тов.майору подниму больше, и беспалева, в отличие от этих.
какие-то они феерично тупые и жадные, и да - "we only acquire vulnerabilities proven to be exploitable i.e. accompanied by a fully functional exploit". То есть сами написать и быстренько проверить они не умеют, все разжевать и в ротик положить - такие вот cybersecurity veterans.
veteran scriptkiddies.
| | |
| |
| |
| 4.40, Аноним (-), 18:34, 18/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
На самом деле важно другое - существует вариант кидка, а это пообиднее долгосрочных выплат! И если даже есть 1% того что это произойдет, то накой влезать в этот блудняк?
| | |
| |
| 5.42, нах (?), 21:00, 18/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> На самом деле важно другое - существует вариант кидка
э... в смысле, купить билет и не поехать?
Автор эксплойта всегда может их кинуть, просто разгласив уязвимость (и претензии хрен предъявишь), соответственно, сделав ее для них бесполезной. Поэтому не заплатить они не могут - если, конечно, оный эксплойт им нужен.
но это, оказывается, лотерея, а не big bounty - мало найти, надо чтоб еще никто другой не нашел через месяц то же самое. (даже 12 месяцев - за которые, опять же, можно с доверчивых лохов чего натрясти и самому)
> И если даже есть 1% того что это произойдет, то накой влезать в этот блудняк?
за $85000 сравнительно легальных денег, разумеется.
| | |
|
|
|
|
| 1.41, Аноним (-), 18:37, 18/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Попахивает вбросом, как со Skype началась компания слухов о взломе. Не можешь победить, нужно дескредитировать. Так дешевле. Госструктурам дешевле будет физически пообщаться с персонажем, который попал в поле зрения, чем выплачивать примии за непонятные эксплоиты.
| | |
| |
| 2.43, нах (?), 21:04, 18/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Госструктурам дешевле будет физически
> пообщаться с персонажем, который попал в поле зрения,
не все ж такие лохи, как Шалтай, надеющиеся на ФСБшную крышу - с некоторыми пообщаться может не получиться.
А вот деанонимизировать при помощи эксплойтов - вполне могут. И дальше уже перейдут к физическому общению.
| | |
|
|
