Do 3 milionów dolarów za exploit w systemie macOS, iOS, Android lub Windows.
Contents
Crowdfense, start-up z siedzibą w Zjednoczonych Emiratach Arabskich. Oferuje do 3 milionów dolarów każdemu, kto może zaoferować exploit z narzędziami do hakowania urządzeń z systemem macOS, iOS, Android lub Windows.
cyfrowej sieci Płyta główna, poinformował, że nagroda za błąd została właśnie upubliczniona. Exploity dnia zerowego to wady lub luki nieznane programistom (w tym przypadku Google, Apple lub Microsoft).
Dzięki temu firmy takie jak Crowdfense mogą wykorzystać lukę dla własnych korzyści. Na przykład opracowywanie narzędzi do jailbreak lub hackowania dla urządzeń.
Jednak w tym przypadku firma chce sprzedać dane agencjom wywiadowczym. I organy ścigania, według dyrektora Crowdfense, Andrei Zapparoli.
3 miliony oferowane za exploit dla systemów operacyjnych iOS, macOS, Android i Windows
Byłaby to jedna z nietypowych ofert, o które prosi się publicznie w branży cyfrowej. Branża, która zwykle charakteryzuje się rezerwą wokół tzw. „dni zerowych”. Crowdfense wysłał komunikat prasowy do dziennikarzy, ogłaszając to, co nazywa „Nagroda za błędy.
„Kiedy myślę o agencjach rządowych, nie myślę o części wojskowej, myślę o części cywilnej. Że działa przeciwko przestępczości, terroryzmowi i tym podobnym rzeczom” – powiedział Zapparoli w wywiadzie telefonicznym.
„Koncentrujemy się wyłącznie na narzędziach przeznaczonych do wykonywania działań wywiadowczych lub organów ścigania. Nie ma na celu zniszczenia lub osłabienia funkcjonalności i skuteczności systemów docelowych. Ale tylko do zbierania danych wywiadowczych.
Exploity typu „zero-day” lub zero-day to narzędzia hakerskie. W których wykorzystywane są błędy lub luki w systemach komputerowych nieznane twórcom systemu.
Na przestrzeni lat udoskonalono zabezpieczenia popularnych komputerów i telefonów komórkowych. Stworzyli tajną i kontrowersyjną branżę. Dedykowane do dostarczania tych narzędzi agencjom rządowym. Agencje, które potrzebują pomocy w hakowaniu różnych celów.
Dlatego firma jest dziś tylko zainteresowana; szczególnie w exploitach dla systemów macOS, iOS, Android i Windows. Pomijając te exploity dla urządzeń IoT, telekomunikacji, infrastruktury krytycznej czy sieci społecznościowych.
Dzięki tej ekscentrycznej ofercie firma planuje przyjąć zupełnie inne podejście niż większość poszukiwaczy exploitów. Skupiają się na maksymalizacji przejrzystości. To powiedziawszy, Crowdfense nie ujawniło, z kim rozmawiają ani co planują zrobić z takimi wyczynami.
płatności za exploity
Budżet ich programu premii za błędy wynosi obecnie 10 milionów dolarów.
Wykres exploitów, których szuka Crowdfense, oraz odpowiednich płatności.
Crowdfense próbuje robić rzeczy na różne sposoby, „z jak największą przejrzystością” – powiedział. Zaparoli. Dodał ponadto, że nie chce powtarzać tych samych błędów, które w przeszłości popełniały inne firmy z tej branży. Wspomniał konkretnie o Hacking Team, włoskim dostawcy oprogramowania szpiegującego, który słynie ze sprzedaży narzędzi hakerskich i inwigilacji opresyjnym rządom.
Na razie Zapparoli nie sprecyzował, jak dokładnie prowadzi śledztwo ani z kim współpracuje. Jednak Crowdfense zauważył, że w przyszłości najlepsze praktyki i standardy mogą zostać upublicznione, ale na razie powinno to być „samoregulujące”.
Trzeba pamiętać, że Apple w 2016 roku uruchomiło własny program bug bounty. Program używany do wykrywania błędów, takich jak exploity dnia zerowego.
Jednak program był w dużej mierze ignorowany, ponieważ płatności dokonywano na czarnym rynku. I inne grupy hakerów były znacznie wyższe niż niskie wypłaty Apple 200 000 $.
