Стоит Ли Платить Хакерам За Поиск Ошибок?

Кроме того, Чарли и несколько его друзей начали движение «Больше никаких бесплатных ошибок» .

Я очень уважаю Чарли и думаю, что он прав.

Он просто хочет делать то, что у него хорошо получается.

Предоставляемые им услуги очень ценны для поставщиков программного обеспечения и для всех нас.

Однако есть один вопрос: продаст ли Чарли найденные им жуки плохим парням? Он до сих пор не сделал четкого и окончательного заявления по этому поводу.

Подозреваю, что не будет, хотя сам в этом не уверен.

Я знаю Чарли и многих других умных хакеров.

Те, кто не желает зла разработчикам.

Я встречал многих из них за последние 20 лет и знаю, что обнаружение уязвимостей — не самый прибыльный бизнес и уж точно не самый простой способ заработать на жизнь.

Многие талантливые хакеры, предоставлявшие разработчикам ошибки, были оскорблены тем, что разработчик не хотел платить им за их тяжелую работу.

Я видел, как эти изначально благонамеренные хакеры начали мстить разработчикам.

Я видел, что эти хакеры продавали ошибки конкурентам.

Хакер, которого не волнует, кто получит и воспользуется найденным им эксплойтом, может продать уязвимость известного ПО за довольно приличную сумму — 5000 долларов, а может и больше.

Цены на уязвимости на черном рынке найти сложно, но я видел предложения порядка 100 000 долларов за переполнение буфера в Windows Server 2003. Учитывая, что многие преступные группировки зарабатывают на эксплойтах десятки миллионов долларов и более, цена за Эксплойт в десятки (сотни) тысяч долларов выглядит довольно забавно.

Даже хорошие ребята, многие легальные стороны платят за ошибки и эксплойты.

Во-первых, многие поставщики (включая моего работодателя, Microsoft) платят миллионы как сотрудникам, так и внешним специалистам по поиску ошибок, хотя они почти всегда (если не всегда) подписывали контракт до того, как обнаружили ошибки в программном обеспечении.

CanSecWest и другие конкурсы платят за обнаруженные новые уязвимости.

Ряд других организаций, таких как Zero Day Initiative, платят за поиск новых уязвимостей.

Они зарабатывают деньги, продавая своим клиентам средства защиты.

И вообще, все плохо секретируется, потому что у нашего правительства есть группы людей, которые ищут уязвимости для разных целей.

Были даже попытки открыть аукционы.

Дело в том, что хакер «в белой шляпе» заботится о безопасности продукта и защите людей, а «плохой парень» — о прибыли, мести.

Один из моих друзей, который работает в крупной компании-разработчике программного обеспечения.

, проанализировали расходы компании на выплату бонусов за обнаруженные ошибки.

Он выяснил, что за обнаружение ошибки сотрудник получает менее 25 долларов.

Согласитесь, законному хакеру будет очень сложно прожить на такую цифру.

В этом мире есть много способов заработать деньги.

Мои компьютерные книги продавались бы лучше, если бы в них была порнография.

Я мог бы пополнить свой доход, продавая наркотики, но я должен иметь возможность смотреть на себя в зеркало и гордиться тем, что я делаю.

Мне платят за взлом, но я никогда не делал этого без разрешения или с неприязнью к кому-либо.

Многие компании, возможно, не платят 5000 долларов или больше за ошибку, но они построили успешный — иногда очень успешный — бизнес.

Они стали именами в индустрии и создали отдельных звезд. Их владельцы вырастили компанию и создали долгосрочную карьеру для своих сотрудников.

На каждого известного хакера я могу назвать двух законных хакеров и их компании.

Ставка , ZDI, iDefense, Дэвид Личфилд, Foundstone, Дэйв Эйтель, Immunity и многие другие.

Чарли и другие сторонники No More Free Bugs заслуживают того, чтобы зарабатывать на жизнь тем, что у них получается лучше всего.

Но я надеюсь, что они посмотрят, кому продают найденные ошибки.

Нам нужно, чтобы они убедили нас, что они на нашей стороне.

Всегда.