Hlavní navigace

Názor ke zprávičce Pwn2Own: Hned první den padl Internet Explorer, Firefox ... od Milan Keršláger - Různí jednotlivci a skupiny hledají bezpečnostní chyby v...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 19. 3. 2015 18:24

    Milan Keršláger

    Různí jednotlivci a skupiny hledají bezpečnostní chyby v různých produktech ze dvou důvodů: výdělek a zářez do životopisu. S životopisem je to jednoduché - když ukážete CVE, které vás označí jako toho, kdo problém objevil a popsal, vezmou vás nejspíše všude. U výdělku je to vlastně jasné taky - s exploitama se totiž na Internetu čile obchoduje (v šedé zóně, tj. neoficiálně, potajmu). Problém je, když se přijde na to, že jste to byl vy, kdo ten exploit na Netu prodával. Člověk, který se chová jako "zlý cracker" (též Black Hat), musí pracovat v utajení, protože ho nikdo nezaměstná, protože když není loajální sám k vlastní pověsti, nelze očekávat že bude loajální k firmě, která by ho zaměstnala (tj. lze očekávat, že při první příležitosti své postavení ve firmě zneužije). A závěr tedy je, že myslet si, že všechny chyby jsou známé a opravené je poněkud... naivní. Opravené chyby jsou bohužel pouze špička ledovce. Právě proto třeba Google vyplácí za nalezení chyby odměny (a už je párkrát zvýšil), aby takový člověk mohl zpeněžit své schopnosti legálně (a ku prospěchu Google).