北京赛车倍数_倍率图_中奖倍数

加入收藏  设为首页

服务热线:4001000000



北京赛车开奖

虫子狩猎开始:支付,或感到痛苦


m.hbjdstc.cn 漏洞发现和分析(VDA)实验室由Jared DeMott于4月份成立,它向软件供应商通报其软件中发现的安全漏洞,许多其他安全研究人员也是如此。 但作为VDA商业模式的一部分,供应商被要求为其发现的错误或其咨询服务付费,否则VDA威胁要将错误出售给第三方或公开安全漏洞的详细信息。 在其他地方为国家安全局工作过的DeMott将他的商业模式描述为“前卫”,而其他安全研究人员认为它更像是“勒索”。在任何一种情况下,这种做法都是从错误猎人与软件供应商和安全公司合作的传统方式转向的。 就在两个星期前,流行的社交网站LinkedIn已经体验了VDA的业务实践,当时这家密歇根安全公司声称它已经在LinkedIn Internet Explorer工具栏中发现了一个严重的安全漏洞。 “我们发现了对LinkedIn工具栏的攻击。如果你对这个bug感兴趣,我们首先要拒绝购买它。我们也想对你的产品进行更完整的安全审核。我们可以帮助LinkedIn产品更安全,“DeMott在7月10日发送给LinkedIn的电子邮件中表示,正如CNET News.com所看到的那样。 电子邮件继续说:“如果你不想购买它,那么我们很乐意转售或发布作为完整的披露,以帮助防止最终用户服务器上出现的安全问题。我们坚信保护用户安全。我们是独一无二的因为我们给供应商第一次机会发现我们发现的错误,而不是卖给第三方或公开发布。请查找附加的VDA Labs Value添加文档。如果您想购买该错误,我们将提供工作攻击代码,以便您在发送支票之前验证错误。“ VDA设定了7月17日的截止日期,并要求支付5,000美元。 在未收到LinkedIn的回复后,DeMott在截止日期前夕发送了两封电子邮件。一个提醒说截止日期即将到来,另一个表示价格已经上涨到10,000美元。 “现在刚刚将攻击发展成了一个有效的漏洞(10万美元)。打电话给我,”DeMott在电子邮件中写道。 截止日期过后两天,安全漏洞的详细信息以及如何利用它,DeMott向LinkedIn发送了另一封电子邮件。 “那么,如果你的m.dingshengphoto.cn公司政策是不购买错误报告,那么你是否愿意注册咨询(使用VDA)?我们可以将此错误作为最终报告的一部分。我真的不得不不负责任地发布这个漏洞,“德莫特在电子邮件中说。 LinkedIn拒绝发表评论。此后,该公司修补了VDA确定的漏洞利用程序。 DeMott确认他发送了电子邮件,为公司的商业行为辩护,并指出通过向他们提出挑战来保护用户,并促使供应商采取行动修补漏洞。 他还指出,其中概述了他公司的服务和定价。 “我们的商业模式有点前卫,但我们从未将其视为勒索或以这种方式想到它,”DeMott说。 “我们想做一些能真正抓住供应商的东西。供应商不会修补产品。他们对销售产品更感兴趣。我们担心他们会试图把我们放在次要位置。” 例如,某些软件公司不会根据策略与安全研究人员合作,并且只有在客户标记的情况下才会对漏洞采取行动。 其他安全研究人员对VDA的商业模式持批评态度。 VeriSign / iDefense研究实验室主任,纽约州前警官弗雷德里克·多伊尔说:“任何时候你都有人说他们有这个,除非你给他们钱,否则他们会这样做,这就是勒索。” 。 Sans Institute首席研究官Johannes Ullrich表达了类似的观点。 “我认为这是勒索,特别是如果他威胁要公开发布这个错误,如果他没有报酬,”乌尔里希说。 “你不应该把人质藏为人质。” Tom Point旗下的Tipping Point安全响应经理Terri Forslof表示,VDA并不是唯一的业务实践。 此前曾担任微软安全响应中心安全项目经理的Forslof表示,她在2000年至2005年间担任该软件巨头期间曾十几次遇到过类似的情况。 “大多数主要供应商,包括微软,都有很强的企业价值,不会为漏洞付费,”福斯洛夫说。 “因此,让这种威胁付给我,或者我会伤害你的顾客,基本上就像勒索他们一样。” 然而,DeMott表示,他的公司在其商业模式方面取得了一些成功。 在过去四个月中,该公司已经看到大约一半的潜在客户同意支付错误赏金费,而另一半则完全拒绝了这个想法。在一个案例中,一家公司拒绝m.blackiron.com.cn
版权所有©北京赛车倍数_倍率图_中奖倍数 北京赛车冠亚军公式_大理旅行攻略_大理必去景点 0 网站地图