The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Программа вознаграждений за выявление уязвимостей в открытом серверном ПО

26.07.2018 09:52

Компания Trend Micro объявила о расширении инициативы Zero Day Initiative (ZDI) и представила список проектов, за выявление уязвимостей в которых выплачиваются вознаграждения. За выявление ранее неизвестной уязвимости в NGINX или Apache httpd, которая может быть эксплуатирована в окружении Ubuntu Server 18.04, исследователь может получить вознаграждение в размере 200 тысяч долларов США. За уязвимости в WordPress предусмотрена награда в 35 тысяч долларов, а в Joomla и Drupal - 25 тысяч долларов. Для получения вознаграждения требуется предоставить полностью работоспособный эксплоит.

  1. Главная ссылка к новости (https://www.zerodayinitiative....)
  2. OpenNews: На соревновании Pwn2Own 2018 продемонстрированы взломы Firefox, Edge и Safari
  3. OpenNews: На соревновании Pwn2Own 2018 появились номинации за взлом nginx, OpenSSL и Virtualbox
  4. OpenNews: На соревновании Pwn2Own 2017 продемонстрированы взломы Ubuntu и Firefox
  5. OpenNews: На соревновании Pwn2Own 2017 появились номинации за взлом Linux и Apache httpd
  6. OpenNews: Компания Intel представила программу выплаты вознаграждений за поиск уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49026-zerodayinitiative
Ключевые слова: zerodayinitiative
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Володя (??), 09:57, 26/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Круто! Пойду зарабатывать!
     
     
  • 2.5, Аноним (5), 10:35, 26/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А почему нет?
    В той же ElementaryOS есть "ошибки с наградами", там полагается награда в $ за решение проблем:
    https://elementary.io/ru/get-involved#desktop-development
     

  • 1.2, йййй (?), 10:08, 26/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Бизнес-план:
    1. Втираешься в доверие
    2. Проталкиваешь патч с уязвимостью
    3. Находишь ее
    4. PROFIT
     
     
  • 2.6, майнтейнер проекта (?), 10:38, 26/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    делиться не забывай, благо всяких криптотем для правильного дележа уже навалом придумано, и, в общем-то, втираться не придется - я тоже хочу свою долю от 200
     

  • 1.7, нах (?), 10:40, 26/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    что-то я не понял, за что они так жумлу c дурпалкой обидели...
    типа, с врот-пресса понратырить на 25 могут и без их помощи, поэтому награда повыше, а этих никому не жалко, берите сколько предложено, а то и это зажмем...


     
  • 1.8, Аноним (8), 10:55, 26/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отличный план! Покупаешь всего за 200к$ 0-day широко распространненого софта, заставляя продавца подписать NDA, и юзаешь/продаешь тулзой в даркнете на миллионы.
     
     
  • 2.9, нах (?), 11:14, 26/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    зачем? Покупаешь, вставляешь в свой ng-фиревол, антивирус и прочую ботву, и получаешь миллионы (ознакомься на досуге с ценником) совершенно легально и без геморроя (и без лишнего риска для продавца, поэтому ему есть смысл с тобой сотрудничать, даже слегка потеряв в деньгах) - даже не надо никакого nda - чем больше дряни in the wild, тем нужнее твой продукт.

    нет, если ты думаешь, что в даркнете заплатят больше - ты можешь пытаться продать свой эксплойт напрямую э...пользователям. Но что-то я сомневаюсь, что тебе заплатят хотя бы 25килоуе за жумлу. Вот сдать куда-надо - вполне могут.

    вот обратный вариант вполне работает - то есть если ты наляпал zero-day под конкретный заказ - там могут быть и совсем другие деньги, ты их получил, но ты же не обещаешь заказчику, что он вечно сможет пользоваться этим эксплойтом - попользовал, и будет - теперь продадим его трендмикре - опять же, все довольны, взломанный банчок недоволен - это его проблемы, ну не успел файрвол обновиться, бывает.

     

  • 1.11, ryoken (ok), 12:57, 26/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А сколько неозвученные уязвимости стоят на чёрном рынке? Хотя бы порядок величин :).
     
     
  • 2.12, Andrey Mitrofanov (?), 13:58, 26/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А сколько неозвученные уязвимости стоят на чёрном рынке? Хотя бы порядок величин
    > :).

    "до четырёх лет"

    https://duckduckgo.com/?q=%D1%80%D0%B0%D1%81

     
     
  • 3.16, 123 (??), 10:46, 27/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А где речь про распространение ?
     
     
  • 4.18, Andrey Mitrofanov (?), 11:16, 27/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    #>>>стоят на чёрном рынке?
    > А где речь про распространение ?

    Тебе лояр в сизо расскажет.

    "" Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для ""

     

  • 1.13, Дмитрий Азаров (?), 16:14, 26/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > Компания Trend Micro

    Это поставщик зонда от американских спецслужб? Спасибо, но нет. Даже за деньги таким ребятам не помогаю. А уж делать вид что они позволят кому-то залатать свои самые глубокие зонды - ну смешно до слез. :)

     
  • 1.17, 123 (??), 10:49, 27/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Разработчикам вордпресса, друпала и джумлы хороший способ поднять бабла) достаточно по тихому впилить дырку в свой апстрим, дождаться ZDI и доблестно её обнаружить.

    Оп, и 25 килобаксов заработали, можно готовить закладку к следующему ZDI

     
  • 1.19, Смузиёб (?), 21:50, 27/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Платят только за найденные дыры, то есть даже искать нет желание ибо это унижение и цинизм. Лучше продовать экспонаты и пейлоадеры в даркнете.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру