Berta Sándor

Pénzért árul biztonsági hibákat Kevin Mitnick

Az ismert hacker vállalata etikailag meglehetősen vitatható tevékenységbe kezdett.

A világ legismertebb hackere napjainkban egy IT-biztonsági tanácsadócéget működtet és fél évvel ezelőtt új dologgal bővítette ki a portfólióját: nulladik napi biztonsági hibákat árul. Az ajánlat hivatalos neve Mitnick's Absolute Zero Day Exploit Exchange. Többek között kormányzati ügyfelek és vállalatok is vásárolhatnak olyan eszközöket, amely segítségével kihasználhatják a még be nem foltozott biztonsági réseket. A megoldásokat részben Mitnick vállalata, részben külső hackerek keresik. A hibánkénti legalább 100 000 dolláros ár kizárólagos felhasználási jogot biztosít a vásárlóknak.

Az ajánlat azután vált ismertté, hogy Mitnick létrehozott egy honlapot, hogy a cégének a biztonsági közösségen belüli egyedülálló pozícióját arra használja fel, hogy a fejlesztőket összehozza a kormányzati és az üzleti ügyfelekkel. Az új üzlet ugyanakkor etikai vitát váltott ki. Egyrészt a biztonsági hibák kereskedelmét már így is támadják, másrészt a hibák lehetővé teszik, hogy például az Amerikai Egyesült Államok Nemzetbiztonsági Hivatala (NSA) megfigyelhessen embereket.

A hacker ugyanakkor azt állította, hogy neki nem érdeke, hogy kormányzati szerveket hozzásegítse az emberek ellenőrzéséhez. Hozzátette, hogy tüzetesen megvizsgálnak minden vásárlót és csak azután jöhet létre az üzlet, ha mindent rendben találnak az illetőnél. Sem az amerikai titkosszolgálatok, sem az elnyomó rezsimek nem számítanak potenciális üzleti partnereiknek. Az online piactéren kétféle ajánlatok vannak. Az Absolute X kategóriába tartoznak a már felfedezett biztonsági rések exkluzív ajánlatai, míg az Absolute Z kategóriában az ügyfeleknek lehetőségük van megjelölni, hogy mely szoftverek biztonsági rései érdekelnék őket.

Christopher Soghoian, az ACLU amerikai szervezet aktivistája és a nulladik napi biztonsági hibák kereskedelmének ellenzője a Twitteren támadta a hackert, aki szintén a mikroblogon nyilvánosságra hozott üzenetében vágott vissza.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Szefmester #8
    Valaki áruba bocsátaná a tudását és megadná nekem bunny lakcímét, a rejtett pótkulcsának helyét, és hogy mikor üres a kéglije? Kap érte 10ezer forintot. :)
    Ugye ez is csak annyi, hogy árúba bocsájtja valaki a tudását? Véletlenül sem károsítanak meg közvetett módon?
  • bunny #7
    Demagóg on: Ha elnyomó rezsimeknek nem akar dolgozni, nem fog olyan országot találni ami megfelel a kritériumnak.
    Magánvélemény: ez nem zsarolás, a tudását bocsájtja árúba mint mindenki.
  • evetke007 #6
    Demagóg ON: Így Jár aki kihagyja/megspórolja az alapos tesztelést. /OFF

    Magánvéleményem: ez zsarolás.
  • SirBubu #5
    NSA --> National Security _Agency_ --> "Nemzetbiztonsági _Ügynökség_"

    ha csupa kisbetűvel írtátok volna, még jó is lehetne (szerk. mármint a "... Nemzetbiztonsági Hivatala (NSA) ")

    bocs, hogy szóltam
    Utoljára szerkesztette: SirBubu, 2014.09.26. 12:59:59
  • KTGyuri #4
    hali. nem találtam a cikkben olyat, hogy csak a cég saját rendszeréről ad ki infót... "... az Absolute Z kategóriában az ügyfeleknek lehetőségük van megjelölni, hogy mely szoftverek biztonsági rései érdekelnék őket." nálam annyit jelent, hogy használok egy rendszert, szeretnék hozzá 2 hibát venni, de tudom, hogy az X, Y, és Z cég is ezt használja, ergó ott is ki tudom használni a hibát. Ennek csak így van számomra értelme, mert ha én fejlesztem a rendszert, akkor a saját rendszeremet, tudom tesztelni és auditálni is, így minimalizálódik a hiba is. Azért van sajnos egyre több "biztonsági" rés az alkalmazásokban, mert a cégek inkább piacradobják a terméküket béta fázisban a nagyobb nyereség érdekében, mintsem rendesen le lennének tesztelve.
  • Kotomicuki #3
    Ilyenen, a mai világban, ahol a "hivatásosok" is uo informatikai terroristák, mint a "mezítlábas" hacker-ek, ne is csodálkozzunk...
  • Tetsuo #2
    Nem másnak adja el a hibát, hanem csa annak a cégnek, akié a rendszer.
  • Sir Quno Jedi #1
    Ezt nem értem. Ha felfedezem, hogy valakinek nyitva maradt az ajtaja a házban (de lehet kocsiajtó stb.), az egy dolog, magánügy, le is tagadhatom, hogy tudtam róla. Ha azonban ezt elárulom másoknak is PÉNZÉRT és azok betörnek stb. akkor simán bűnrészes vagyok és még számlát is adtam róla?!?? HA tudom valaki pinkódját és ugyan ÉN nem élek vissza vele, hanem csak simán eladom, éljen más vissza, akkor mivan?!?!?? Az bűn!

    Ha kárt okoznak bárkinek egy ilyen információ alapján, akkor egyrészt ha elkapják a bűnösöket, akkor miteszik urat is be kell vágják a börtönbe (és kollégáit, akik szintén bűnrészesek, ha bármiben is részt vettek az üggyel kapcsolatban). ÉS ezen felül jogosan követelhetnek tőle kártérítést a károsultak jogi úton, az okozott károk fedezésére. Így korrekt.
    Utoljára szerkesztette: Sir Quno Jedi, 2014.09.26. 09:50:51