そして非常に有益です。 悪者のために。
 | 有名なMacハッカーであるチャーリーミラーは、エクスプロイトを無料でリリースしないと発表しました。 さらに、チャーリーと彼の友人たちは、 No More Free Bugsムーブメントを開きました。 |
私はチャーリーを本当に尊敬しており、彼は正しいと思います。 彼は自分ができることをとてもやりたいと思っています。 それが提供するサービスは、ソフトウェアプロバイダーと私たち全員にとって非常に貴重です。 それにもかかわらず、1つの質問があります。チャーリーは「悪者」にエラーを売るか売るか? 彼はまだこの主題について明確で最終的な声明を出していない。 私はそれについては確信していないが、そうはならないだろうと思う。
私はチャーリーと他の多くのハッカーを知っています。 開発者に悪を望んでいない人。 私は過去20年間に彼らの多くに会ってきましたが、脆弱性を見つけることは最も収益性の高い活動ではなく、さらに生計を立てる最も簡単な方法でもないことを知っています。 発見されたバグを開発者に提供した多くの才能あるハッカーは、開発者が彼らの苦労に対して彼らに支払いたくないという事実に腹を立てました。 これらの当初は善意のハッカーが開発者に復venし始めていることがわかりました。 これらのハッカーが競合他社に間違いを売りつけているのを見ました。
お金、お金、お金...
エクスプロイトを販売することは、特にあなたが「悪者」である場合、非常に良い利益の機会です。 発見されたエクスプロイトを誰が受け取り、使用するかを気にしないハッカーは、既知のソフトウェアの脆弱性をかなり適切な金額である5,000ドル以上で売ることができます。 ブラックマーケットの脆弱性の価格を見つけるのは難しいですが、Windows Server 2003で約10万ドルのバッファオーバーフローのオファーを見てきました。ドルはかなりおかしく見えます。
善良な人でさえ、多くの正当な関係者がバグやエクスプロイトの代価を支払います。 まず、多くのベンダー(私の雇用主であるMicrosoftを含む)は従業員と外部のバグサービスの両方に数百万を支払いますが、ほとんどの場合(常にではないにしても)ソフトウェアのバグを見つける前に連絡先に署名します。 CanSecWestおよびその他のコンテストは、新たに発見された脆弱性の代価を支払います。 Zero Day Initiativeなどの他の多くの組織は、新しい脆弱性の検索にお金を払っています。 保護製品を顧客に販売することでお金を稼ぎます。 とにかく、私たちの政府はさまざまな目的のために脆弱性の検索に従事している人々のグループを持っているので、すべては不十分に秘密にされています。 オークションを開く試みさえありました。
白と黒
悲しい事実は、「白人」ハッカーが発見した脆弱性の利益は、闇市場で販売されている同じハッカーの利益よりも数倍少ないということです。 大事なことは、「白人」ハッカーは製品の安全性と人々の保護を重視し、「悪者」は利益、復venなどを重視するということです。大手ソフトウェア会社で働いている友人の1人が、会社のボーナス支払い費用を分析しました見つかったエラー。 彼は、従業員が見つかったバグに対して25ドル未満しか受け取らないことを発見しました。 同意して、合法的なハッカーのためにそのような姿で生きることは非常に難しいでしょう。
この世界でお金を稼ぐ方法はたくさんあります。 私のコンピューターの本は、ポルノが含まれていれば売れるでしょう。 薬物を販売することで収入を補うことができますが、自分を鏡で見て自分の仕事に誇りを持つことができるはずです。 私はハックするための報酬を受け取りますが、許可なしに、または誰かを嫌いにしたことはありません。
多くの企業は、発見したエラーに対して5,000ドル以上支払うことはないかもしれませんが、成功した-時には非常に成功したビジネスを構築しました。 彼らは業界の名前になり、個々の星を作成しました。 彼らの所有者は会社を成長させ、従業員のために長期的なキャリアを作り上げました。
悪名高いすべてのハッカーについて、2つの正当なハッカーとその会社に名前を付けることができます。Stake、ZDI、iDefense、David Litchfield、Foundstone、Dave Aitel、Immunityなどです。
チャーリーと他の「No More Free Bugs」支持者は、彼らが最善を尽くすことで生計を立てるに値します。 しかし、見つかったバグを販売している人を見てほしい。 彼らが私たちの側にいることを私たちに納得させるために彼らが必要です。 常に。