Exploit 0-day na Internet Explorera za 60 tysięcy dolarów, twórca skazany

Twórca exploita typu 0 day na Internet Explorera, został skazany na karę 10 tysięcy dolarów oraz 3 letni wyrok w zawieszeniu. Prawie 30 letni Jeremy Jethro sprzedał swój exploit wykorzystujący błąd za 60 tysięcy dolarów (niecałe 170 tysięcy złotych) crackerowi znanemu jako Alberto Gonzalez.

Ludzie orientujący się w specyfice rynku handlującego błędami, które nie są jeszcze znane producentom oprogramowania (0 day), a które zwyczajowo pozwalają uruchomić obcy kod w atakowanym systemie, znają ceny jakie w tej branży można osiągnąć. Zarówno sprzedając błąd na wolnym rynku (drożej) czy też do firm zajmujących się skupem takich błędów (taniej). Jednak z rzadka możemy przeczytać o skazanych sprzedawcach takiego oprogramowania. Gonzalez działając w zorganizowanej grupie wykradł informacje na temat kart płatniczych i debetowych w liczbie ponad 90 milionów. Co ciekawe rzekomo exploit był napisany słabo przez co jego skuteczność jest oceniana na niską, jednakże nie są znane dokładne informacje na temat wykorzystania go podczas kradzieży.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar DeeTah
    DeeTah

    W sumie to najwyraźniej i tak mu się to opłaciło… Z drugiej strony, ZA CO został skazany?

    1. Awatar marcinsud
      marcinsud

      e tam za co, ciekawsze jest kto go pozwał.

    2. Awatar morsik
      morsik

      Jak to za co? Za niewinność standardowo (-;

    3. Awatar Sparrow1
      Sparrow1

      Za udział w spisku.

    4. Awatar mor
      mor

      Pomocnictwo.

      1. Awatar marcinsud
        marcinsud

        większe niż sprzedaż noża myśliwskiego podejrzanemu łysemu człowiekowi w bmw?

        1. Awatar gotar
          gotar

          Pisałem już w komentarzach do dziurawego Fx: podstawowa różnica pomiędzy szantażem a ofertą handlową jest to, że ta druga kierowana jest do ogółu na akceptowalnych warunkach, natomiast pierwszy odbywa się z pozycji siły w ściśle zamkniętym gronie.
          Idąc tym tropem: sprzedaż za wysoką cenę takiej informacji przestępcy różni się diametralnie od wystawienia publicznego w cenie całego pakietu.

  2. Awatar kamo
    kamo

    wydaje mi sie ze pierwsze co to wini sie bank,jesli bank jest czysty to prawdopodobnie systemy etc gdyż za ich posrednictwem dokonujemy wpłat i wypłat pieniedzy. Myslac dalej tym tokiem wcale nie dziwie sie bo tak na prawde ten osobnik uczestniczył poniekąd w całej akcji.Wg mnie jest przestepcą.

  3. Awatar czepol
    czepol

    Czy mi się wydaje, czy został on niesłusznie skazany? Sama sprzedaż błędu chyba nie jest niczym nielegalnym. Rzeczą nielegalną było użycie tego błędu. To tak jak z nożem. Nóż jest legalny, ale zabijanie nim ludzi już nie. Wg mnie to jakiś absurd.

    1. Awatar Sparrow1
      Sparrow1

      Nóż jest legalny, ale jeśli ktoś założy "sklep" np. z maczetami, którego klientami będą głównie płatni zabójcy, to raczej nikt nie uwierzy że można nimi chleb kroić. Oprócz samej kwalifikacji czynu liczy się też intencja. I często to właśnie intencję ocenia sąd-bo gdyby takiej oceny nie było, to i sądy nie byłyby potrzebne. W końcu prawo można by stosować z automatu.

      1. Awatar karakar
        karakar

        Maczety służą przedzieraniu się przez gęstą roślinność, a nie krojeniu chleba. Można je jak najbardziej legalnie zakupić.

        1. Awatar Sparrow1
          Sparrow1

          A może <a "href= http://www.youtube.com/watch?v=u4G3j9lpGDs#t=0m33… rel="nofollow">jako mikrofon też nie mogą służyć? 😉

  4. Awatar jteyhhfh
    jteyhhfh

    A złośliwi mówią, że Windows nie jest bezpieczny …

  5. Awatar oO
    oO

    To teraz czekamy na wyrok dla Jewgienija Legerowa (tego od ostatnio głośnego błędu w Firefoxie). Zrobił dokładnie to samo.

    1. Awatar trasz
      trasz

      @oO: Oho, znow postanowiles sie wykazac. ;->

      Nie, zrobil cos zupelnie innego. Roznica jest jak miedzy prowadzeniem legalnego sklepu z bronia (Legarow) i sprzedaza broni przestepcom (Jethro). Roznica jest taka, ze w pierwszym przypadku wiekszosc klientow kupuje informacje o zagrozeniach, zeby sie przed nimi chronic, a w drugim – zeby je wykorzystywac.

      1. Awatar iron_irony
        iron_irony

        to proponuje potencjalnym klientom "prześwietlać" mózg, żeby dostrzec motyw.

        Legalne oprogramowanie Legarowa można użyć w celach nielegalnych. 100% pewności, że Legarow jest odkrywcą luki Firefoksa też nie mamy, być może ją kupił od kogoś innego.

        1. Awatar iron_irony
          iron_irony

          jedyny sensowny pomysł, to albo zdelegalizować jakikolwiek handel lukami z pominięciem organizacji / firmy będącej właścicielem oprogramowania, albo zalegalizować je w pełni.

          Handel lukami to trochę jak handel kluczami do nie swojego mieszkania ze wskazaniem adresu (programu, którego luka dotyczy).

        2. Awatar trasz
          trasz

          @iron_irony: Nadal nie rozumiesz. Nie chodzi o to, ze oprogramowania mozna uzyc w celach nielegalnych. Chodzi o to, czy sprzedajacy zdaje sobie sprawe, ze kupujacy ma zamiar uzyc tego w nielegalnych celach, a mimo to sprzedaje.

        3. Awatar LM
          LM

          Wykazaliśmy ponad wszelką wątpliwość, że towarzysz oskarżony zdawał sobie sprawę z tego, że sprzedaje portret Stalina osobie, która zamierza ów portret opluć. Dlatego jest winny obrazy Związku Radzieckiego i zostanie pozbawiony wolności na okres lat 3.

        4. Awatar trasz
          trasz

          @LM: Ale do czego ty wlasciwie zmierzasz – ze pomocnictwo to durny pomysl i goscia, ktory zaplanowal i koordynowal napad na bank nalezy uniewinnic, bo nikomu pistoletu do glowy nie przykladal?

        5. Awatar iron_irony
          iron_irony

          @trasz – pomimo wszystko stoję na przekonaniu, że regulacje prawne powinny być skonstruowane klarownie. Liczenie na widzimisię urzędnika, czy sędziego nie jest dobrym pomysłem. Przypuszczam, że elementem większość spraw, w których wymiar sprawiedliwości się myli (na korzyść, lub nie korzyść oskarżonego), jest właśnie kwestia domniemanej motywacji oskarżonego.
          Dopóki nie będziemy potrafić czytać w myślach, motywacji do końca nie poznamy. (Poza tym doświadczony prawnik jest w stanie odpowiednio rozmydlić motywację)

        6. Awatar LM
          LM

          @Trasz: uczepiłeś się tego pomocnictwa jak pijany płotu.

          Może w końcu sprawdź kiedy, ile razy i w jakich sprawach sąd bierze pod uwagę nieostry termin „pomocnictwa”. Przypadki które miały miejsce raczej nie dotyczą umów cywilno-prawnych przy handlu oprogramowaniem – exploit jest dość dziwnym ale jednak pewnym rodzajem oprogramowania.

        7. Awatar trasz
          trasz

          @LM: Uczepilem sie, bo wlasnie tego dotyczy sprawa. Tego konkretnego przestepstwa.

          A przypadki, ktore mialy miejsce, rzeczywiscie nie dotycza umow cywilnoprawnych, bo pomocnictwo z definicji dotyczy tylko spraw karnych. W tym przypadku chodzilo o „wlamanie sie komus”, w ktorym celowo i swiadomie pomogl Jethro.

        8. Awatar trasz
          trasz

          @iron_irony: Problem w tym, ze tego nie da sie bardziej sprecyzowac. Prawo to nie algorytm, sąd to nie procesor.

        9. Awatar iron_irony
          iron_irony

          @trasz

          Prawo to nie algorytm, sąd to nie procesor

          I na tym właśnie polega problem, bo skazywanie ludzi powinno stanowić właśnie jakiś algorytm, żeby wyeliminować widzimisię sędziego. Jeśli sobie odpowiednią interpretację prawną znajdziesz to jesteś czysty, jeśli nie skazany. To nie jest w porządku. Innymi słowy jeśli stać kogoś na odpowiednio drogiego prawnika to może się wywinąć prawie z każdej sytuacji.

        10. Awatar trasz
          trasz

          @iron_irony: Problem w tym, ze to nie zadziala. W zyciu jest zbyt wiele mozliwosci, zeby prawo moglo je uwzglednic "algorytmicznie".

        11. Awatar LM
          LM

          pomocnictwo z definicji dotyczy tylko spraw karnych

          …głównie takich jak: pobicia, morderstwa, napady z bronią w ręku, rabunki, porwania i gwałty.

          w ktorym celowo i swiadomie pomogl Jethro.

          Z którego palca to wyssałeś?

          Richman [obrońca Jethro] said Jethro did not know Gonzalez’s intended use for the exploit.

        12. Awatar trasz
          trasz

          @LM: Glownie. Ale takze na przyklad piractwa komputerowego, vide TPB.

          A co do opinii obroncy – sad uznal, ze Jethro klamal i doskonale wiedzial o zamiarach Gonzalesa. Wlasnie dlatego go skazal.

        13. Awatar LM
          LM

          W sprawie TPB bezstronność sędziego była wątpliwa a sama sprawa dosyć wyjątkowa.

          W sprawie Jethro, "sąd uznał", jak sam piszesz. Ta nie poparta dowodami uznaniowość jest niepokojąca.

          BSD służy do robienia Złych Rzeczy. Skoro już wiesz o zamiarach jego użytkowników, czekaj cierpliwie na wyrok 😉

        14. Awatar trasz
          trasz

          @LM: W sprawie TPB brak bezstronnosci sedziego to bzdura wyssana z palca przez fanow TPB; cos jak rozne teoryjki obroncow Reisera. Zreszta gdyby byl choc cien szansy, ze tak bylo, zlozonoby wniosek o rewizje procesu, czy jak to sie tam u nich nazywa.

          W sprawie Jethro sad uznal, na podstawie silnych dowodow. Gdyby nie mial dowodow, to by nie uznal. Taka jest idea dzialania sadu.

          Co do zamiarow – gdyby BSD sluzylo prawie wylacznie do zlych rzeczy, to bym czekal. Naprawde, przeczytaj troche o pomocnictwie.

        15. Awatar iron_irony
          iron_irony

          @trasz

          W zyciu jest zbyt wiele mozliwosci, zeby prawo moglo je uwzglednic “algorytmicznie”

          Jest, ale nie do końca. Pomimo wszystko w zastosowaniu jest kilka praw, które działają algorytmicznie bez względu na motywacje np.
          – masz broń – nikt nie pyta czy chcesz sobie postrzelać do tarczy
          – masz narkotyki w większej ilości – żaden sędzie nie sprawdza czy jesteś zapobiegliwy i robisz sobie zapasy na przyszłość, ale traktuje Cię jako dealera
          – przechodzisz na czerwonym świetle – do policjanta raczej średnio trafia, że od 3 minut nic tędy nie jechało, liczy się fakt przejścia na czerwonym świetle, co najwyżej można dostać mniejszą karę – ale kara musi być – chociażby pouczenie.

          Chodzi mi oto, że można dodać prawo albo go zabronić:
          – handlujesz exploitem z osobą prawną / fizyczną, która nie jest właścicielem konkretnego programu, którego exploit dotyczy, to bla,bla.

          Analogicznie jak:
          – handlujesz kluczami do okna do konkretnego mieszkania o adresie Warszawa, ul. Ciastkarska 15A, nie z właścicielem tego mieszkania. Okazuje się, że do mieszkania można wejść nie tylko drzwiami, ale okno ma również zamek, pozwalający na wejście do środka, o czym nie wie właściciel.

          Analogia: nieznany właścicielowi klucz – exploit do programu

  6. Awatar Lewy
    Lewy

    "Prawie 30 letni Jeremy Jethro sprzedał swój exploit wykorzystujący błąd za 60 tysięcy dolarów hakerowi znanemu jako Alberto Gonzalez. Gonzalez (…) wykradł informacje na temat kart płatniczych (…)."
    Może nie jestem specem, ale w takiej sytuacji to raczej Jethro'ego bym nazwał hakerem, a Gonzaleza prędzej script-kiddie…

    1. Awatar DeBill
      DeBill

      Bo ja wiem… Hakerzy bardzo cenią swój czas i starają się nie wyważać otwartych drzwi. Widać Gonzalez stwierdził, że bardziej opłaca mu się zapłacić za gotowy produkt.

  7. Awatar X
    X

    Monopol na takie rzeczy posiada mafia. Np. Sergiejowi Alejnikowi, programiście który w Goldman Sachs pracował nad programami do błyskawicznej spekulacji postawiono zarzut wykradania kodu, a przy okazji padło zdanie:

    "there is a danger that somebody who knew how to use this program could use it to manipulate markets in unfair ways."

    Jakie to szczęście, że Goldmani swoje galopujące zyski zawdzięcza grze fair play. To pewnie jak z tymi exploitami. Trzeba je zgłaszać odpowiednim dobrym wujkom a kłopocików nie będzie.

  8. Awatar QkiZ
    QkiZ

    Bezsens. Skazywać człowieka za to, że wykrył błędy innych. Ciekawe jakie wyroki dostali programiści tych dziur.

    1. Awatar trasz
      trasz

      @QkiZ: Nie za to, ze wykryl, ale za to, ze wykorzystal.

      1. Awatar iron_irony
        iron_irony

        nie wykorzystał, tylko sprzedał receptę na wykorzystanie

    2. Awatar DeBill
      DeBill

      On nie został skazany za sam fakt 'wykrycia błędu'.

  9. Awatar canon rebel xt
    canon rebel xt

    Well this sort of data is actually worth looking for, good information for readers and surely shows excellent writing. Its cool to have these kinds of posts around to maintain the facts flow. Helping those who truly love this, fantastic function! Thanks once again for taking the time to place this on the internet. I unquestionably liked every single component of it.

  10. Awatar phone
    phone

    I am impressed, I ought to say. Actually hardly at any time do I encounter a blog which is each educative and entertaining, and allow me to let you know, you have got hit the nail on the head. Your believed is outstanding; the issue is one thing that not enough individuals are chatting intelligently about. I’m extremely blissful that I stumbled all through this in my search for a single thing referring to this

  11. Awatar battery
    battery

    Thanks for your thoughts. One thing I’ve noticed is the fact that banks and also financial institutions really know the spending patterns of consumers plus understand that most of the people max out there their real credit cards around the vacations. They sensibly take advantage of that fact and begin flooding your inbox plus snail-mail box together with hundreds of 0 APR credit card offers shortly after the holiday season ends. Knowing that for anyone who is like 98% of American public, you’ll rush at the opportunity to consolidate personal credit card debt and shift balances for 0 annual percentage rates credit cards.

  12. Awatar John C.
    John C.

    Thanks a milion for your personal challenge and additionally results! These things upon your internet site is normally fantastic. Besides Document really appreciate any tips. In my opinion however these are fundamental factors. Anyways many thanks. Excellent look over.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *