10:15
18/9/2013

O francuskiej firmie VUPEN pisaliśmy już kilka razy — sami wyszukują oraz skupują błędy w oprogramowaniu a następnie sprzedają je m.in. agencjom rządowym. Teraz ujawniono dokumenty potwierdzające, że od poprzedniego roku NSA była oficjalnym klientem VUPEN-a. W przeciwieństwie do większości serwisów informujących o tym jako o sensacji, my nie widzimy w tym niczego szokującego, ani dziwnego. NSA na pewno skupuje też exploity z innych źródeł.

Zaskakujące jest, czemu dopiero od 12 września 2012? Może wcześniej NSA nie musiała płacić VUPENowi, bo miała tam backdoora? ;-)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

8 komentarzy

Dodaj komentarz
  1. #pomysłnastartup

  2. Intratny biznes. Może czas pomyśleć bardziej przyszłościowo o tachaniu dziur w sofcie za hajs? ;)

  3. Pytanie pewnie wałkowane nie raz. A czy w Polsce biznes tego typu (sprzedaż exploitów) jest legalny ?

    • Art. 269b kk:
      “Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.”

    • W tym kontekście ciekawe jest, czy firma pentesterska może sobie kupić Metasploita albo Core Impact. Oprogramowanie to jak najbardziej spełnia podaną wyżej definicję.
      No i oczywiście kwestia co to znaczy ‘przystosowane’.
      Czy jeśli sprzedam/kupię tylko kod źródłowy to nadal jest to ‘program komputerowy’?

    • W kontekście zacytowanego artykułu, to była już czyjaś interpretacja (nawet teoretycznie słuszna) nie można mieć ani nmapa, ani jackarippera, ani nawet telnetu. Nie wspomnę o tym że GREP w połączeniu z tęczowymi tablicami (lub jakimikolwiek podobnymi) = narzędzie do łamania haseł ;d No a nie? Po prostu czapa! ;)
      Prawo nie nadąża i/lub jest napisane zbyt ogólnikowo.

  4. […] lepszą strategią odłożyć trochę grosza na zakup exploitów typu 0day na czarnym rynku (jak robi to NSA)? Albo zainwestować w zespół specjalistów, którzy w razie potrzeby będą rozpracowywali […]

  5. […] specjalistyczne firmy, które szukają błędów i sprzedają je później agencjom rządowym (np. VUPEN, który na pewno sprzedawał swoje 0day’e do NSA). Istnieją także tzw. brokerzy, którzy skupują 0day’e od “młodych, zdolnych” […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: