Bestes Beispiel hier.Andererseits könnte die Reduzierung von Code zur Absicherung eines OS nicht unwesentlich beitragen.
wie schnell man doch Lücken findet
-
inne
- Beiträge: 3281
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: wie schnell man doch Lücken findet
Ich fand/nahm an, dass die Tatsache das man ihn so "klassich" hacken musste, um ihn identifierzien zu können eher für Tails und Tor spricht. Da scheinbar alleine das Schattennetz hinter der sog. G-MAFIA das alleine doch nicht konnte.
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Re: wie schnell man doch Lücken findet
Zum Thema wie häufig sowas vor kommt man sieht ja wie häufig da Debian-Security am apt-get upgrade steht.
Im schnitt sind es so ~250 Lücken pro Jahr, die in Debian gefunden werden. Es gibt ~30000 Pakete Dafür dürfte ne Übliche Installation so ca. 3000 enthalten. Das wäre alle zwei Wochen eine.
Dummerweise sind die Pakete mit den meisten Lücken wie Imagemagic,openssl,kernel,pyhton,ruby auch die, die jeder hat. In sofern passt wohl eher 2 pro Woche.
Aber ich bin mir absolut sicher, dass das mit dem alter der Pakete abnimmt. Klar, dass sind jetzt nur die gemeldeten und keine die Geheim gehalten werden. Ich sehe aber keinen Grund, warum das bei den geheim gefundenen anders laufen sollte.
Unseriöse Nutzer auf reddit meinen, das Facebook hat $1.8Mio für die Lücke gezahlt. Ich weiß nicht, wie der übliche Verdienst eines für den Schwarzmarkt Sicherheitslückensuchers aussieht. Aber ich tippe mal sa hat eher nicht mal einer gesucht sondern eher ein größeres Team, dass der Dienstleister da angeheuert hat.
Btw dürfte der Finderlohn den Projekten wohl eher in ner anderen Größenordnung liegen. Am Ende müssen auch die auf guten willen und nicht Raffgierigkeit der Finder hoffen. Deswegen ist es so problematisch wenn Konzerne oder Staaten diese Unsummen für sowas ausgeben.
Bei solchen Summen wird vielleicht doch der ein oder andere Finder schwach und meldet sowas nicht. Und so sähen die Preise nicht aus, wenn nur gewöhnliche Krimminelle Sicherheitslücken kaufen würden.
Im schnitt sind es so ~250 Lücken pro Jahr, die in Debian gefunden werden. Es gibt ~30000 Pakete Dafür dürfte ne Übliche Installation so ca. 3000 enthalten. Das wäre alle zwei Wochen eine.
Dummerweise sind die Pakete mit den meisten Lücken wie Imagemagic,openssl,kernel,pyhton,ruby auch die, die jeder hat. In sofern passt wohl eher 2 pro Woche.
Aber ich bin mir absolut sicher, dass das mit dem alter der Pakete abnimmt. Klar, dass sind jetzt nur die gemeldeten und keine die Geheim gehalten werden. Ich sehe aber keinen Grund, warum das bei den geheim gefundenen anders laufen sollte.
Unseriöse Nutzer auf reddit meinen, das Facebook hat $1.8Mio für die Lücke gezahlt. Ich weiß nicht, wie der übliche Verdienst eines für den Schwarzmarkt Sicherheitslückensuchers aussieht. Aber ich tippe mal sa hat eher nicht mal einer gesucht sondern eher ein größeres Team, dass der Dienstleister da angeheuert hat.
Btw dürfte der Finderlohn den Projekten wohl eher in ner anderen Größenordnung liegen. Am Ende müssen auch die auf guten willen und nicht Raffgierigkeit der Finder hoffen. Deswegen ist es so problematisch wenn Konzerne oder Staaten diese Unsummen für sowas ausgeben.
Bei solchen Summen wird vielleicht doch der ein oder andere Finder schwach und meldet sowas nicht. Und so sähen die Preise nicht aus, wenn nur gewöhnliche Krimminelle Sicherheitslücken kaufen würden.
rot: Moderator wanne spricht, default: User wanne spricht.
-
inne
- Beiträge: 3281
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: wie schnell man doch Lücken findet
Das auf jedenfall ich meine man bewegt dich da im unteren 5 stelligen bereich wenn überhaupt. Und dann so meine ich gelesen zu haben, muss man auch schon sowas wie ein Root-Login oder Jailbreak haben. Bei Appel und Microsoft, gibt es aber diesen Finderlohn/Bug-Bounty-Programme - zumindest auf dem Papier, ob die dann im Fall auch wirklich Interesse zeigen.wanne hat geschrieben:17.06.2020 00:33:45[...]
Unseriöse Nutzer auf reddit meinen, das Facebook hat $1.8Mio für die Lücke gezahlt. [...]
Btw dürfte der Finderlohn den Projekten wohl eher in ner anderen Größenordnung liegen.
(Ich hätte Konzerne scheiben sollen^^ nicht den Projekte.)
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/