Công ty Zimperium mua lại các khai thác cũ của hacker

Các lỗ hổng thông tin sẽ ảnh hưởng rất nhiều đến bảo mật của bạn. Vậy tại sao, công ty bảo mật Zimperium lại mua lại các khai thác của? Tìm hiểu điều bí ẩn này tại đây.

Công ty zimperium mua lại các khai thác cũ

Công ty bảo mật di động Zimperium đã đưa ra một chương trình mua lại khai thác nhằm mục đích đưa mã tấn công không được tiết lộ cho các lỗ hổng đã vá lỗi đã được mở.
 
Trả tiền cho việc khai thác cũ có vẻ như là một sự lãng phí tiền bạc, nhưng có những lập luận kỹ thuật và kinh doanh để biện minh cho một hệ thống mua lại như vậy và cuối cùng họ phải làm gì với sự khác biệt giữa khai thác và các lỗ hổng.
 
Một lỗ hổng là một lỗi phần mềm có tiềm năng về bảo mật, trong khi khai thác là mã thực tế lợi dụng lỗi đó để đạt được một mục tiêu độc hại cụ thể, thường bằng cách bỏ qua các rào cản về bảo mật khác trên đường đi.
 
Trong thực tế, nhiều lỗ hổng được báo cáo cho các nhà cung cấp không đi kèm với khai thác làm việc. Chỉ ra rằng một lỗi lập trình có thể dẫn đến tham nhũng bộ nhớ thường đủ để nhà cung cấp hiểu được các hàm ý tiềm ẩn của nó - ví dụ như thực hiện mã tùy ý.
 
Nếu nhà cung cấp phần mềm hiểu được lỗi và cam kết vá nó, thường không có điểm dành thời gian để viết một khai thác toàn diện mà cũng bỏ qua các hộp cát hoặc cơ chế bảo mật OS như SELinux, DEP và ASLR để chứng minh việc thực thi mã độc hại.
 
Tuy nhiên, đó không phải là trường hợp được gọi là các cuộc tấn công có vũ khí hóa được bán sau những cánh cửa đóng kín cho những kẻ hacker độc hại hoặc các cơ quan chính phủ cho rất nhiều tiền. Các tính năng này cần phải đầy đủ chức năng và đáng tin cậy, và trong hầu hết các trường hợp, nhắm mục tiêu các lỗ hổng chưa được vá lỗi mà người dùng không có quyền bảo vệ, đó là lý do tại sao chúng được gọi là khai thác zero-day.
 
>>> Xem thêm: thuê máy photo giá rẻ tại hà nội

Nhưng những gì xảy ra khi khai thác mất trạng thái zero-day vì những lỗ hổng mà họ sử dụng được phát hiện độc lập và được vá bởi các nhà cung cấp? Mã tấn công đó có được công khai không? Không phải lúc nào.
 
Thực sự không có cách nào để biết có bao nhiêu khai thác zero-day đã bị đốt cháy bởi các bản sửa lỗi của nhà cung cấp qua nhiều năm, và vẫn giữ bí mật cho đến ngày nay. Hoặc có bao nhiêu nhà văn khai thác treo trên những gì đã được khai thác trước đó zero-day với hy vọng rằng họ vẫn có thể có một số giá trị chống lại các thiết bị cũ hơn.
 
Cần lưu ý rằng không phải mọi hacker đều là thợ săn lỗi và không phải mọi thợ săn mồi đều là một nhà văn khai thác. Đây là những hành động đòi hỏi các bộ kỹ năng khác nhau. Có rất nhiều thợ săn lỗi thành công mà không có kỹ năng lập trình cần thiết để viết các chuỗi khai thác đầy đủ thổi mà làm việc đáng tin cậy trên các phiên bản hệ điều hành khác nhau.
 
"Nghiên cứu và khai thác Security là trong trái tim của chúng tôi và những gì đã dẫn Zimperium đến thời điểm này," nhà sáng lập Zimperium và CTO Zuk Avraham cho biết trong một bài đăng blog hôm thứ ba. "Chúng tôi đánh giá cao nghệ thuật khai thác và đánh giá cao các thủ thuật mát mẻ để viết một phát triển khai thác, vượt qua ASLR / KASLR, đạt được sự bền bỉ, vv Chúng tôi khiêm tốn tin tưởng rằng chúng ta có thể học hỏi từ bất kỳ khai thác và kết quả là cung cấp bảo mật tốt hơn cho khách hàng của chúng tôi Và các đối tác. "
 
Công nghệ bảo mật di động của công ty được các nhà cung cấp dịch vụ và nhà cung cấp thiết bị cầm tay sử dụng để triển khai rất nhiều hàng chục triệu người dùng và cần phải được bảo vệ ngay cả đối với các thiết bị di động cũ hơn không còn được hỗ trợ nữa và không nhận bản cập nhật bảo mật. Đó là trên những thiết bị như những ngày "khai thác" N-ngày cũ, như Zimperium gọi, vẫn có thể có giá trị cho kẻ tấn công.
 
Avraham cho biết: "Đối với chúng tôi, hỗ trợ các thiết bị cũ là một quyết định quan trọng để giúp chính sách cập nhật thất bại của người tiêu dùng.
 
Công ty sẽ có được khai thác cho cả lỗ hổng khai thác tại chỗ và từ xa, cũng như đối với các lỗi có thể dẫn đến việc tiết lộ thông tin. Các khai thác có thể nhắm mục tiêu đến bất kỳ phiên bản nào của Android hoặc iOS ngoài những phiên bản mới nhất.
 
Zimperium đã không tiết lộ giá cho các loại khai thác khác nhau mà họ dự định mua, vì mỗi chiếc sẽ được đánh giá bởi một ủy ban đặc biệt. Tuy nhiên, công ty đã phân bổ 1,5 triệu USD cho chương trình.
 
Các nhà phát triển khai thác thậm chí có thể phân tích các bản vá lỗi hàng tháng của các nhà sản xuất hệ điều hành di động, viết các lỗ hổng bảo mật cho các lỗ hổng vá lỗi và đưa chúng vào chương trình bởi vì sự tồn tại của các khai thác có thể dẫn đến việc áp dụng bản vá lỗi trong hệ sinh thái.

>>> Có thể bạn quan tâm: cho thuê máy photo tại hưng yên
 
Avraham cho biết: "Các đối tác liên minh của Zimperium Handset Alliance (ZHA) đã giải thích với chúng tôi rằng nếu không có bằng chứng về khả năng khai thác, thật khó thuyết phục các đội an ninh phân bổ các nguồn lực cần thiết cho một chu trình vá lỗi hoàn chỉnh, ngay cả đối với các vấn đề đã biết.
 
Zimperium sẽ sử dụng các khai thác để tăng cường công cụ bảo vệ điện thoại di động z9, sử dụng máy học để phát hiện và ngăn chặn các cuộc tấn công mạng, địa phương và ứng dụng. Nó cũng sẽ chia sẻ các khai thác với ZHA, trong đó bao gồm các thành viên đội bảo mật từ hơn 30 nhà sản xuất thiết bị và các hãng vận tải toàn cầu.
 
Zimperium cũng có kế hoạch phát hành công khai sau ba tháng trừ khi các tác giả của họ đặc biệt yêu cầu công ty không.

Chúc bạn thành công!

Hỗ trợ trực tuyến

kinh doanh 2

kinh doanh 2

0903.22.4949

kinh doanh 1

kinh doanh 1

mayvanphongbongsen@gmail.com

0962.33.4949

go top