10:15
18/9/2013

* NSA kupowała exploity od VUPEN

Autor: Piotr Konieczny | Tagi:  

O francuskiej firmie VUPEN pisaliśmy już kilka razy — sami wyszukują oraz skupują błędy w oprogramowaniu a następnie sprzedają je m.in. agencjom rządowym. Teraz ujawniono dokumenty potwierdzające, że od poprzedniego roku NSA była oficjalnym klientem VUPEN-a. W przeciwieństwie do większości serwisów informujących o tym jako o sensacji, my nie widzimy w tym niczego szokującego, ani dziwnego. NSA na pewno skupuje też exploity z innych źródeł.

Zaskakujące jest, czemu dopiero od 12 września 2012? Może wcześniej NSA nie musiała płacić VUPENowi, bo miała tam backdoora? ;-)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.
Niebezpiecznik

8 komentarzy

Dodaj komentarz
  1. Rzluf 2013.09.18 11:26 | # | Reply

    #pomysłnastartup

  2. Boulderdash 2013.09.18 12:07 | # | Reply

    Intratny biznes. Może czas pomyśleć bardziej przyszłościowo o tachaniu dziur w sofcie za hajs? ;)

  3. Ter 2013.09.18 13:33 | # | Reply

    Pytanie pewnie wałkowane nie raz. A czy w Polsce biznes tego typu (sprzedaż exploitów) jest legalny ?

    • troll 2013.09.18 20:18 | # |

      Art. 269b kk:
      “Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.”

    • c 2013.09.18 20:44 | # |

      W tym kontekście ciekawe jest, czy firma pentesterska może sobie kupić Metasploita albo Core Impact. Oprogramowanie to jak najbardziej spełnia podaną wyżej definicję.
      No i oczywiście kwestia co to znaczy ‘przystosowane’.
      Czy jeśli sprzedam/kupię tylko kod źródłowy to nadal jest to ‘program komputerowy’?

    • BloodMan 2013.09.20 00:45 | # |

      W kontekście zacytowanego artykułu, to była już czyjaś interpretacja (nawet teoretycznie słuszna) nie można mieć ani nmapa, ani jackarippera, ani nawet telnetu. Nie wspomnę o tym że GREP w połączeniu z tęczowymi tablicami (lub jakimikolwiek podobnymi) = narzędzie do łamania haseł ;d No a nie? Po prostu czapa! ;)
      Prawo nie nadąża i/lub jest napisane zbyt ogólnikowo.

  4. » Projekt 29: polski wirus wojskowy (na zamówienie MON) -- Niebezpiecznik.pl -- 2013.11.14 22:21 | # | Reply

    […] lepszą strategią odłożyć trochę grosza na zakup exploitów typu 0day na czarnym rynku (jak robi to NSA)? Albo zainwestować w zespół specjalistów, którzy w razie potrzeby będą rozpracowywali […]

  5. » NSA korzystało z luki Heartbleed “od lat”. Czy aby na pewno? I czy to w istocie jest teraz nasz największy problem? -- Niebezpiecznik.pl -- 2014.04.12 15:20 | # | Reply

    […] specjalistyczne firmy, które szukają błędów i sprzedają je później agencjom rządowym (np. VUPEN, który na pewno sprzedawał swoje 0day’e do NSA). Istnieją także tzw. brokerzy, którzy skupują 0day’e od “młodych, zdolnych” […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: