10:15
18/9/2013

O francuskiej firmie VUPEN pisaliśmy już kilka razy — sami wyszukują oraz skupują błędy w oprogramowaniu a następnie sprzedają je m.in. agencjom rządowym. Teraz ujawniono dokumenty potwierdzające, że od poprzedniego roku NSA była oficjalnym klientem VUPEN-a. W przeciwieństwie do większości serwisów informujących o tym jako o sensacji, my nie widzimy w tym niczego szokującego, ani dziwnego. NSA na pewno skupuje też exploity z innych źródeł.

Zaskakujące jest, czemu dopiero od 12 września 2012? Może wcześniej NSA nie musiała płacić VUPENowi, bo miała tam backdoora? ;-)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

8 komentarzy

Dodaj komentarz
  1. #pomysłnastartup

  2. Intratny biznes. Może czas pomyśleć bardziej przyszłościowo o tachaniu dziur w sofcie za hajs? ;)

  3. Pytanie pewnie wałkowane nie raz. A czy w Polsce biznes tego typu (sprzedaż exploitów) jest legalny ?

    • Art. 269b kk:
      “Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.”

    • W tym kontekście ciekawe jest, czy firma pentesterska może sobie kupić Metasploita albo Core Impact. Oprogramowanie to jak najbardziej spełnia podaną wyżej definicję.
      No i oczywiście kwestia co to znaczy ‘przystosowane’.
      Czy jeśli sprzedam/kupię tylko kod źródłowy to nadal jest to ‘program komputerowy’?

    • W kontekście zacytowanego artykułu, to była już czyjaś interpretacja (nawet teoretycznie słuszna) nie można mieć ani nmapa, ani jackarippera, ani nawet telnetu. Nie wspomnę o tym że GREP w połączeniu z tęczowymi tablicami (lub jakimikolwiek podobnymi) = narzędzie do łamania haseł ;d No a nie? Po prostu czapa! ;)
      Prawo nie nadąża i/lub jest napisane zbyt ogólnikowo.

  4. […] lepszą strategią odłożyć trochę grosza na zakup exploitów typu 0day na czarnym rynku (jak robi to NSA)? Albo zainwestować w zespół specjalistów, którzy w razie potrzeby będą rozpracowywali […]

  5. […] specjalistyczne firmy, które szukają błędów i sprzedają je później agencjom rządowym (np. VUPEN, który na pewno sprzedawał swoje 0day’e do NSA). Istnieją także tzw. brokerzy, którzy skupują 0day’e od “młodych, zdolnych” […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: