アカウント名:
パスワード:
IEのエクスプロイトを売ろうとIEから買い取りフォームに入力して、お褒めの言葉と共に…
サンドボックス迂回無しの価格が少し高すぎる気がします。今の時代、整数オーバーフローや整数アンダーフローなんて、少し探せばぼろぼろと見つかるわけで。
少し探してぼろもうけすればいいじゃないですか。
「最高○万ドル」ってのがクセモノ。中古買い取りショップよりも相場が不透明なので、あちらの言い値で買い叩かれそう。
じゃあ結局「高すぎる」ってことは無いんじゃないの。
整数アンダーフローってなんだ?右シフトの結果で値が0になるのを言っているのかな? 割り算の商が0になるとか。まさか、負方向にオーバーフローするのをアンダーフローと勘違いしてるとか?
あたしもそう思ったんだけどさ、ググるとそういう使い方もでてくるみたい。普通アンダーフローといったら浮動小数点数がとっても小さくなってしまう現象よね。
2の補数表現システムなら正方向だろうが負方向だろうが加算・減算にかかわらず現象としてはオーバーフローなのに…
完全にオフトピですが、某車関連会社のチェックシートなどに出てきて、一瞬悩んだことがあります。浮動小数点型なんか使えないので、曖昧では無いので良いのですが。
# う〜ん、どうしたものか
Googleなんかがかけてる懸賞金よりは高くないと誰も売ってくれないだろ。
研究者として何らかの資格を持っていなくてもちゃんと機能するエクスプロイトコードをPGP使ったメールで送ればOKみたいhttps://www.zerodium.com/faq.html [zerodium.com]
原文も「Researchers」ってなってるし
興味本位でたまたま見つけてしまった一般個人でも一応は応募できるんでしょうね
資格があると訴えられたときに「研究」って大義が気休め程度には働いてくれそうだけれども
賞金買いたたかれて見つけた責任だけ丸投げされる~なんてことにならないような保護規定がFAQに載ってないので自称スパーハカーな方は心して挑まないとあかんかも
>公然とエクスプロイトを取引するZERODIUMに対する批判も出ているようだ。皆さんのご意見はいかがだろうか。アングラはアングラに居るからアングラなんであって、表に出てしまえば対処の仕方はいくらもあろう。とどのつまりが金の話になるなら、アングラに流すより得になる高価な市場を形成すればexploitはアングラには流れなくなる。googleなりMicrosoftなりAppleなり各国政府なりがお金を出し合って買い占めればいいわけだ。
それはお花畑過ぎませんかね?同じ exploit を別の買い手に何度も売ることは出来るでしょう。パッチが出来ない間は何度でも同じ脆弱性を使い回せるわけで。それに裏の勢力と仰いますが、それは各国政府かもしれませんし。
どうかな? exploitの価値は検出されたらほぼ終わりだからな。裏の側にしても、余計にtrafficに露出して検出機会を増やすのは得策ではなかろう。自分以外が利用できないよう、他には売らないよう要求するだろうし、裏切ればそれなりの最期が訪れそう。表に売ってから裏に売ろうとした場合、表の市場は商品(exploit)の入荷を宣伝するから、裏の買い手は付かないだろうね。裏が各国政府でも同じだね。
パッチを作るのは買い手じゃなくベンダーであって、ということはエクスプロイトは買い手からベンダーに提供されているわけだ。つまり「また売り」はできないじゃん?
Zerodiumの実際の顧客はベンダーじゃなくて各国政府の諜報機関などですよ。ストーリーのリンクにあるWiredの記事 [wired.com]をご覧あれ。
ベンダーにすぐ穴をふさがれちゃ、Zerediumは儲けられ無くなるじゃないですか。ふさがるまでは、同じ商品をあちらこちらの諜報機関に売り歩けるわけです。
お金に困ったプロジェクトはわざと脆弱性いれてここからお金もらえばいいいね!
そんなに簡単にシステムの特権をとれるような脆弱性を持つアプリを作れるなら、そもそも懸賞金がこんなに高額なったりしない。
ついでに言うと、Appleユーザーのほうが裕福層が多いので得られる情報の利用価値が高いと見込める。iOS,Android,Windows Phoneで賞金が違うのは、iOSのexploitの相場が反映されてるんだろうね。
Windows Phone→数が出てなくて使いにくいAndroid→ゼロデイすら断片化しててマルウェアのデバッグコスト(笑)も半端無くて使いにくいiOS→綺麗に攻撃対象が揃ってるしUAとかで直ぐに対象か判断できるので攻撃しやすい
ゼロデイとしての利便性だけで十分価値が違うんだが……iOS程度で裕福振って狙われるぅー!って発想は正直きもい。
>iOS程度で裕福振って狙われるぅー!って発想は正直きもい。全世界規模で見たらiOSとAndroidのシェアが1:4だってことを知らないでしょ?$100で買える格安Androidはあっても、$100でiOS端末は買えないの。iOS端末はスマホ市場の中では高価なHigh Endで、購買力があるユーザーしか居ないのよ。Androidにも同クラス帯の端末ユーザーがほぼ同数いるとしても、高級端末のデータだけフィルタする手間がかかるしどの端末が高級端末なのか、世界中のAndroid製品を追いかけるなんて手間をかけたがる人はまぁいないだろうね。iOSなら製品一覧なんてすぐできる。
> $100で買える格安Androidはあっても、$100でiOS端末は買えないの。
まず当たり前の話ですが中古端末の市場は全世界的に存在します。また、新興国ではiPhone4Sがいまだに現役でリフレッシュ品として販売されているんですが知らないんですか?
新興国で言えば、iPhoneほしさに犯罪に手を染めるようなもの(実際多いんですが)を除外しても貧乏人が背伸びすれば買えるものですし、貧乏人ほどそうしたがってますたいていは即脱獄して割れゲーム満載になります
iPhoneは中古でも$10にはなるまい。Androidは 新品で$10以下 [walmart.com]
キモイなんて古典的な煽りに見事にキモイ反論しているのは狙っての行為なのだろうか
スルー力を鍛えよう
> ついでに言うと、Appleユーザーのほうが裕福層が多いので> 得られる情報の利用価値が高いと見込める。
完全な間違いだね
Androidはシェア8割と圧倒的すぎるのでそこには金持ちも当然たくさんいるAppleは成金と貧乏人が無理して買うのの二極化しているが、金持ちの総数でいえばどう考えてもAndroidのほうが多い
もちろんこれは、ネトゲのガチャとかオンラインカジノにつぎ込むバカだけを母数にしたものではなくすべてのユーザーの総数の話でね
SN比なんて概念は無いんだろうなぁ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
悪人との取引でよくあるやつ (スコア:0)
IEのエクスプロイトを売ろうとIEから買い取りフォームに入力して、お褒めの言葉と共に…
少し高すぎる気がする (スコア:0)
サンドボックス迂回無しの価格が少し高すぎる気がします。
今の時代、整数オーバーフローや整数アンダーフローなんて、少し探せばぼろぼろと見つかるわけで。
Re: (スコア:0)
少し探してぼろもうけすればいいじゃないですか。
Re: (スコア:0)
「最高○万ドル」ってのがクセモノ。
中古買い取りショップよりも相場が不透明なので、あちらの言い値で買い叩かれそう。
Re: (スコア:0)
じゃあ結局「高すぎる」ってことは無いんじゃないの。
Re: (スコア:0)
整数アンダーフローってなんだ?
右シフトの結果で値が0になるのを言っているのかな? 割り算の商が0になるとか。
まさか、負方向にオーバーフローするのをアンダーフローと勘違いしてるとか?
Re: (スコア:0)
あたしもそう思ったんだけどさ、ググるとそういう使い方もでてくるみたい。
普通アンダーフローといったら浮動小数点数がとっても小さくなってしまう現象よね。
2の補数表現システムなら正方向だろうが負方向だろうが加算・減算にかかわらず現象としてはオーバーフローなのに…
Re: (スコア:0)
完全にオフトピですが、
某車関連会社のチェックシートなどに出てきて、一瞬悩んだことがあります。
浮動小数点型なんか使えないので、曖昧では無いので良いのですが。
# う〜ん、どうしたものか
Re: (スコア:0)
Googleなんかがかけてる懸賞金よりは高くないと誰も売ってくれないだろ。
言葉ってむずかしい (スコア:0)
研究者として何らかの資格を持っていなくても
ちゃんと機能するエクスプロイトコードを
PGP使ったメールで送ればOKみたい
https://www.zerodium.com/faq.html [zerodium.com]
原文も「Researchers」ってなってるし
興味本位でたまたま見つけてしまった一般個人でも
一応は応募できるんでしょうね
資格があると訴えられたときに「研究」って大義が
気休め程度には働いてくれそうだけれども
賞金買いたたかれて見つけた責任だけ丸投げされる~
なんてことにならないような
保護規定がFAQに載ってないので
自称スパーハカーな方は心して挑まないとあかんかも
アングラが明るみに出るのはよいこと (スコア:0)
>公然とエクスプロイトを取引するZERODIUMに対する批判も出ているようだ。皆さんのご意見はいかがだろうか。
アングラはアングラに居るからアングラなんであって、表に出てしまえば対処の仕方はいくらもあろう。
とどのつまりが金の話になるなら、アングラに流すより得になる高価な市場を形成すればexploitはアングラには流れなくなる。
googleなりMicrosoftなりAppleなり各国政府なりがお金を出し合って買い占めればいいわけだ。
Re: (スコア:0)
それはお花畑過ぎませんかね?
同じ exploit を別の買い手に何度も売ることは出来るでしょう。
パッチが出来ない間は何度でも同じ脆弱性を使い回せるわけで。
それに裏の勢力と仰いますが、それは各国政府かもしれませんし。
Re: (スコア:0)
どうかな? exploitの価値は検出されたらほぼ終わりだからな。
裏の側にしても、余計にtrafficに露出して検出機会を増やすのは得策ではなかろう。
自分以外が利用できないよう、他には売らないよう要求するだろうし、裏切ればそれなりの最期が訪れそう。
表に売ってから裏に売ろうとした場合、表の市場は商品(exploit)の入荷を宣伝するから、裏の買い手は付かないだろうね。
裏が各国政府でも同じだね。
Re: (スコア:0)
パッチを作るのは買い手じゃなくベンダーであって、
ということはエクスプロイトは買い手からベンダーに提供されているわけだ。
つまり「また売り」はできないじゃん?
Re: (スコア:0)
Zerodiumの実際の顧客はベンダーじゃなくて各国政府の諜報機関などですよ。
ストーリーのリンクにあるWiredの記事 [wired.com]をご覧あれ。
ベンダーにすぐ穴をふさがれちゃ、Zerediumは儲けられ無くなるじゃないですか。
ふさがるまでは、同じ商品をあちらこちらの諜報機関に売り歩けるわけです。
錬金術 (スコア:0)
お金に困ったプロジェクトはわざと脆弱性いれてここからお金もらえばいいいね!
Re: (スコア:0)
そんなに簡単にシステムの特権をとれるような脆弱性を持つアプリを作れるなら、
そもそも懸賞金がこんなに高額なったりしない。
Re: (スコア:0)
ついでに言うと、Appleユーザーのほうが裕福層が多いので
得られる情報の利用価値が高いと見込める。
iOS,Android,Windows Phoneで賞金が違うのは、
iOSのexploitの相場が反映されてるんだろうね。
Re: (スコア:0)
Windows Phone→数が出てなくて使いにくい
Android→ゼロデイすら断片化しててマルウェアのデバッグコスト(笑)も半端無くて使いにくい
iOS→綺麗に攻撃対象が揃ってるしUAとかで直ぐに対象か判断できるので攻撃しやすい
ゼロデイとしての利便性だけで十分価値が違うんだが……
iOS程度で裕福振って狙われるぅー!って発想は正直きもい。
Re: (スコア:0)
>iOS程度で裕福振って狙われるぅー!って発想は正直きもい。
全世界規模で見たらiOSとAndroidのシェアが1:4だってことを知らないでしょ?
$100で買える格安Androidはあっても、$100でiOS端末は買えないの。
iOS端末はスマホ市場の中では高価なHigh Endで、購買力があるユーザーしか居ないのよ。
Androidにも同クラス帯の端末ユーザーがほぼ同数いるとしても、高級端末のデータだけフィルタする手間がかかるし
どの端末が高級端末なのか、世界中のAndroid製品を追いかけるなんて手間をかけたがる人はまぁいないだろうね。
iOSなら製品一覧なんてすぐできる。
Re: (スコア:0)
> $100で買える格安Androidはあっても、$100でiOS端末は買えないの。
まず当たり前の話ですが中古端末の市場は全世界的に存在します。
また、新興国ではiPhone4Sがいまだに現役でリフレッシュ品として販売されているんですが知らないんですか?
新興国で言えば、iPhoneほしさに犯罪に手を染めるようなもの(実際多いんですが)を除外しても
貧乏人が背伸びすれば買えるものですし、貧乏人ほどそうしたがってます
たいていは即脱獄して割れゲーム満載になります
Re: (スコア:0)
iPhoneは中古でも$10にはなるまい。
Androidは 新品で$10以下 [walmart.com]
Re: (スコア:0)
キモイなんて古典的な煽りに見事にキモイ反論しているのは狙っての行為なのだろうか
スルー力を鍛えよう
Re: (スコア:0)
> ついでに言うと、Appleユーザーのほうが裕福層が多いので
> 得られる情報の利用価値が高いと見込める。
完全な間違いだね
Androidはシェア8割と圧倒的すぎるのでそこには金持ちも当然たくさんいる
Appleは成金と貧乏人が無理して買うのの二極化しているが、金持ちの総数でいえばどう考えてもAndroidのほうが多い
もちろんこれは、ネトゲのガチャとかオンラインカジノにつぎ込むバカだけを母数にしたものではなく
すべてのユーザーの総数の話でね
Re: (スコア:0)
SN比なんて概念は無いんだろうなぁ