Journal Combien vaut un bug ?

Posté par  (site web personnel) .
Étiquettes : aucune
0
30
jan.
2007
Un article très intéressant du International Herald Tribune sur le marché des bugs et exploits.

Normalement c'est en ligne à
http://iht.com/articles/2007/01/30/technology/web.0130bugs.p(...)

mais je subodore que c'est payant.

En résumé: Evgeny Legenov vend des bugs, c'est à dire de l'information sur des failles dans des navigateurs ou des systèmes d'exploitation. Fondateur d'une petite société moscovite de sécurité nommée Gleg, Legenov cherche dans le code des programmes des bugs permettant de pénétrer des systèmes, et envoie ses trouvaillles à une douzaine de firmes clientes dans le monde. Chaque client paie plus de 10 000 $ pour l'information qu'il peut utiliser pour sécuriser ses ordinateurs et garder une avance sur les hackers criminels.

Bien que Legenov refuse régulièrement les offres des criminels qui lui proposent beaucoup d'argent pour acheter des bugs, il n'est pas pour autant l'ami des vendeurs de softs. Des sociétés comme Microsoft veulent être prévenues en premier par des chercheurs en sécurité, afin de fixer la faille et protéger les utilisateurs.

Mais Legenov rejette fermement cette position: "pour trouver une faille, il faut travailler dur.
  • # pige pas...

    Posté par  (site web personnel, Mastodon) . Évalué à 9.

    Déjà, la majorité des programmes visés ne sont pas opensource. Trouver des failles en décompilant, ça doit pas être facile.

    Admettons

    Je trouve une faille dans Windows et je la vends 10.000$ à une entreprise. Que pourra faire l'entreprise ? Ils savent pas patcher Windows !!!!

    Admettons

    Bon, ils savent patcher. ça veut dire qu'en plus des 10.000$, il faudra payer des développeurs pour comprendre la faille et la patcher. ça revient finalement très très cher non ?

    Admettons

    Au final tu te retrouves avec une faille de sécurité de moins que tes concurrents. Jusqu'à ce qu'elle soit officiellement corrigée. ça fait chez pour finalement pas grand chose ! (sachant qu'eux ont une autre faille en moins que toi)

    Admettons

    Si l'entreprise avait refusé d'acheter la faille et si microsoft avait été mis au courant, elle aurait :
    1) économisé 10.000$
    2) reçu la mise à jour gratuitement avec windows update

    Moralité : les entreprises ont tout intérêt à ce que cette faille arrive direct chez MS. Il leur suffit de faire pression sur les russes... en n'achetant pas les failles.


    Conclusion : Il n'y a pas de marché pour les failles excepté si on a l'intention d'en faire un usage criminel (espionnage industriel, dos, ...)

    Mes livres CC By-SA : https://ploum.net/livres.html

    • [^] # Re: pige pas...

      Posté par  . Évalué à 9.

      >Trouver des failles en décompilant, ça doit pas être facile.

      C'est plus facile qu'on ne le croit. Un très bon article dans MISC montrait qu'à partir d'un patch de correction (ici MS), et en fait un diff des appels de fonctions, il est possible de retrouver la faille initiale.

      Comme par principe, la diffusion d'un patch n'est pas forcément immédiate (voir jamais pour certain) Tu peux avoir un exploit à appiquer sur un système non patché.
    • [^] # Re: pige pas...

      Posté par  . Évalué à 4.

      Pour 10.000$ il doit fournir un exploit de demonstration,
      -> tu peut connaitre les vecteurs d'attaque/le sous système affecté
      -> tu peut potentiellement detecter des virus/truc qui utilise la faille.

      Si la faille est exploitable a distance, la boite peut augmenter la surveillance des services concerné, .. etc

      le but n'est pas forcement de corriger la faille mais de prévenir de son exploitation ou de detecter si elle a déja été exploité

      Un autre point est le temps de correction des failles.
      Si la failles mets 4 mois à etre corrigé, ben ca peut devenir intéressant.

      Ensuite ne pas avertir Miscrosoft gratuitement, c'est logique, microsoft vend ses produits et le support, faire le boulot a leur place gratuitement c'est peut etre gentil mais cela ne coule pas de source.
    • [^] # Re: pige pas...

      Posté par  (site web personnel) . Évalué à 2.

      J'ai cru comprendre que des 0-days sont aussi utilisés légitimement par certains pentesters. Un bon 0-day permet d'être plus « efficace » (dans le sens où il permet de casser le système plus vite) et peut donc faire gagner de l'argent directement (temps) et indirectement (réputation). Dans ce sens, acheter un 0-day peut donc être un bon investissement légal.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # zero ?

    Posté par  (site web personnel) . Évalué à 3.

    Il me semble que c'est ce qui s'appelle depuis un moment déjà un "zero day", autrement une faille exclusive.

    Certains seraient même proposés sur des site de vente aux enchères d'après un éditorial de MISC :

    Ce n'est pas pour rien que la fraude informatique rapporte plus que la drogue. Mais bon, pas qu'à la pègre manifestement. Après tout, depuis que des botnets ou des 0days sont en vente sur eBay, que des entreprises fabriquent des virus sur mesure, ou que d'autres louent des chevaux de Troie…

    http://miscmag.com/fr/index.php?2006/05/09/15-menageres-de-m(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.