Los hackers de la firma francesa Vupen están dispuestos a vender los exploits o las vulnerabilidades que descubrieron en Chrome, en la conferencia de hackers y seguridad web Pwn2Own . "No compartiríamos esta información con Google ni por un millón de dolares, ya que no deseamos facilitarles el trabajo de reparar estos exploits. Esta información queremos dejarla para nuestros clientes"; bien sean gobiernos o agencias de inteligencia alrededor del mundo hablando de hasta "millones de dólares" para los que quieran comprarlos.
Comentarios
pues que queréis que os diga, yo lo veo perfecto, son gente muy preparada y Google paga un millón cuando todo el mundo sabe que ese entuerto vale más. Un poco harto de las "tarifas planas" versión salario, si pueden venderlo por millones, que lo vendan, a ver si la gente se hace valer de una vez.
(Antes de que alguno salte con que no es un "salario", me refería a que siempre el precio de nuestros conocimientos/habilidades los ponen otras personas, cuando sabemos de sobra que valemos mucho más, a ver si se rompe ya el ciclo del burro que persigue la zanahoria).
Relacionadas:
Pwn2Own 2012: El primero en caer ha sido Google Chrome [ENG]
Pwn2Own 2012: El primero en caer ha sido Google Ch...
zdnet.comYa está resuelta la vulnerabilidad de Chrome
Ya está resuelta la vulnerabilidad de Chrome
muycomputer.com#7 Ya, pero Google les paga 1 millón de dólares para mejorar la seguridad de un producto usado por muchos, y en cambio prefieren cobrar más permitiendo que otros utilizen esas vulnerabilidades para saber qué propósitos.
No encasillemos la cultura hacker con bandas de delicuentes !!!
#11 Eso decía yo en el comentario anterior. Puede que algún hacker haya cometido delitos, no puedo asegurar lo contrario pero, por lo general no se dedican a delinquir.
esto no es ser un hacker, es ser un delincuente.
#2 Es una empresa que se dedica a esas cosas* y por lo que se ve es legal...
#3 claro que es legal, en España también las hay
#5 ??
son expertos en seguridad y no "regalan" su trabajo. Con la pasta que ganan los ingenieros de google, me parece hasta "lógico" lo que quieren hacer estos tipos.
#4 Dos de esos trabajadores ganaron 60.000$ que Google pagó por lo del concurso. No les dieron el millón porque por lo visto no se ajustaban a lo que se decía en las bases del Pwn2Own; creo que, entre otras cosas precisamente porque "son una empresa" y porque parece que no lograron el objetivo "final". El asunto parece que es así. Esos dos trabajadores cobraron los 60.000$ porque es uno de los premios, el que les corresponde por lo que lograron. El Millón era para el que consiguiera el reto completo (creo que lo encontrarás en la web fácilmente). Entonces ahora la empresa para la que trabajan estos dos, es la propietaria del código que crearon e utilizaron para explotar tres vulnerabilidades de Chrome y esa empresa dice que no se lo va a dar (vender) a Google por 1 millón de dólares; porque por lo visto hay agencias (también gubernamentales) dispuestas a pagar mucho más por ese sploit para poder apoderarse de los PC (con Windows 7 y esa versión del Chrome) cuando les venga bien.
#5 Entonces no son hackers, sino crackers. Creo que deberías leer un poco más acerca de que son los llamados hackers. Porque esa palabra se usa por parte de la prensa como una especie de cajón de sastre en el que entra de todo. Yo te puedo adelantar algo: la definición más clara de hacker informático que puedes conocer se llama Richard Stalman (el programador que escribió el compilador libre para el lenguaje de programación C, GCC y la mayoría de las bibliotecas del sistema GNU, además del editor Emacs...). También puedes considerar como un hacker a Linus Torbalds, el que escribió el primer kernel Linux, el mismo que sigue a día de hoy revisando todo el código que se va incorporando a las nuevas versiones del núcleo Linux. Hay otros hackers del kernel que también escriben, prueban, depuran y evalúan código para el kernel Linux. Hace pocos meses murió uno de los mejores programadores de todos los tiempos, el que creó (junto a otros), el lenguaje de programación C y buena parte del sistema operativo UNIX. Se llamaba Dennis Ritchie. Tuvo la mala fortuna de morir poco después de Steve Jobs y debido al brillo del primero no se prestó demasiada atención a su muerte, pero a ese también puedes considerarle un hacker en el más puro sentido de la palabra. Si quieres conocer algunos más, es decir, gente que ha escrito miles de líneas de código y ha desarrollados sistemas o partes muy importantes de sistemas operativos, como las capas de red, por ejemplo y una buena colección de drivers, te dejo estos links:
http://ankalima.blogspot.com.es/2012/01/todo-lo-que-no-es-facil.html
http://ankalima.blogspot.com.es/2012/01/escribiamos-ayer.html
http://ankalima.blogspot.com.es/2012/01/torvalds-y-cox-depurando-el-codigo-del.html
http://ankalima.blogspot.com.es/2012/01/gnu-linux-la-fusion-de-dos-filosofias.html
http://ankalima.blogspot.com.es/2012/01/casi-al-final-del-elementary-training.html
http://ankalima.blogspot.com.es/2012/01/la-frase-de-patrick-volkerding-la-que.html
http://ankalima.blogspot.com.es/2012/01/ewing-y-young-crean-red-hat.html
http://ankalima.blogspot.com.es/2012/01/en-los-elementary-training-que-hemos.html
http://ankalima.blogspot.com.es/2012/01/en-el-capitulo-elementary-training-de.html
Si les vas echando un vistazo en ese orden, conocerás a unos cuantos hackers y si miras las entradas del mes de enero, conocerás algunos más. Por supuesto tabién conocerás algo del código que escribieron, de las empresas para las que trabajaron, de las universidades en las que estudiaron...
Eso que tu llamas crackers, por lo general no van mucho más allá de crear o modificar código maligno en VBS, asaltar la wifi un vecino descuidado o meter troyanos en los sistemas vulnerables y mal asegurados. Me jugaría una buena cena a que ninguno de esos crackers sería capaz de hacer lo que hicieron estos dos con el Chrome sobre Windows 7. Y si el Chrome que lograron vulnerar estuviera corriendo sobre un Linux, nunca hubieran logrado entrar en el sistema operativo. Puede que llegaran a explotar esas vulnerabilidades (suponiendo que los binarios ELF las tengan) pero ahí se acabó la historia, el sistema seguiría funcionando y, al menos si la máquina es mía, no escalarían privilegios en ese tiempo ni de coña. Saludos
#7 Si. Yo conozco un par de ellas en Madrid que se prestan servicios de seguridad y recuperación de datos. Con lo de "legal" me refería a otro asunto. Es decir, en EEUU casi cualquiera puede comprar y portar un arma de fuego. Es legal. Pero algunos algoritmos de encriptación son considerados "armas de guerra" y está prohibido su uso. Se que el hecho de escribir el código no es delito a no ser que usen este tipo de algoritmos. Puede serlo después la forma en que lo utilicen. Pero eso supongo que es lo mismo que con una pistola.
#10 Quería decir que cuanto les paga a los trabajadores VUPEN, no Google. Entiendo que VUPEN cobra los servicios que los trabajadores realizan, pero si exigen tanto dinero a los demás los trabajadores deberían pedir bastante para la nómina, tanto o más de lo que se cobra en Google.
#15 Entendí lo que querías decir con tu comentario. No se cuanto les paga Vupen a esos empleados* pero... como en todas las empresas que conozco, imagino que la parte del León se la llevan los directivos y si los hay, los inversores/socios/propietarios.
Imagino que el dinero del premio de Google sería directamente para ellos y en cuanto al trabajo que realizaron imagino que será propiedad de Vupen ya que se ve que pueden venderlo a quien les plazca, pero están seguros de que sacarán más que el millón que ofrecía Google como primer premio
Yo si tuviese empleados como esos, les pagaría lo mejor que pudiese. Pero... el problema es que yo no soy "ese tipo de empresario que son los de Vupen". Ni siquiera soy empresario y en los últimos años, recordando una oportunidad que tuve de serlo a lo largo de mi vida, me alegro de no haber dado el paso. Iba a hacerlo porque me apetecía no tener jefes Pero por lo que he visto después (de eso ya hace más de 30 años...), en algún momento a todos los empresarios que conozco, incluso a los que trabajan solos, les entran algunas enfermedades que prefiero no sufrir: una de ellas es la avaricia; otra es aún peor, creen que sólo ellos trabajan, creen que sólo su trabajo tiene un valor determinante para la empresa, que el de los demás no vale demasiado y que todos son prescindibles (incluso cuando a veces son difícilmente sustituibles); creen que la empresa no sobreviviría sin ellos; dejan de valorar a las personas que trabajan para ellos o con ellos y pasan a considerarlos de otra forma: como gente que le debe la vida que llevan, como menores de edad, como rivales. En fin, cualquier cosa que se te ocurra, menos "personas con una vida que, en gran medida, depende del trabajo que realizan y cuyo beneficio, la parte del león, se la quedan ellos".
No es que yo tenga alma de funcionario, ni siquiera de empleado y mucho menos de esclavo. Pero me alegra no haberme convertido en ese tipo de persona. Creo que finalmente encontré la forma de trabajar que más se adaptaba a mi forma de ser. Ahora lo llaman freelance, en mis buenos años lo llamábamos, ir por libre.
Lamento no haberme explicado mejor antes. Si te dio la impresión de que defendía las actitudes de la empresa, es que me expresé muy malamente.
Un saludo. Buen fin de semana
¿No se supone que ya han parcheado el navegador?
Yo lo que entiendo es que han encontrado vulnerabilidades de seguridad en el explorador de internet más usado los últimos días (Ok), y las venden porque no trabajan gratis (PERFECTO), pero que ni por un millón de dólares lo harán a quien debe corregirlo, en este caso Google, sino que se lo quieren vender a terceros para que las exploten. No se, no me gusta como suena.
No digo que los hackers sean delincuentes, hasta ahí llego, solo que esta forma de gestionar las vulnerabilidades no me gusta. Ni entro en si son empresa o particulares, que sea legal o no, o que deban regalarlas o cobrar lo que estimen oportuno.
Seguro que se me escapa algo o me faltan datos para completar la noticia. Huele a un pique o querer tensar la cuerda para negociar el precio, pero esa declaración de intenciones es lo que me parece, a primera vista, deleznable.
Entonces no son hackers, sino crackers.
¿Y a los trabajadores cuanto les pagan? supongo que millones de dollares también.
Que monten una empresa dedicada a encontrar bugs que no encuentran sus propios trabajadores, y cobren por tipo de vulnerabilidad a Google, si Google no lo acepta que las vendan, ellos ya avisaron.