Kilka razy natknąłem się na strony konkursów organizowanych
przez Google, IBM i kilku innych gigantów, w których celem jest
znalezienie luk w sofcie (przykłady poniżej):

https://www.slashgear.com/google-offering-20000-priz
e-to-hack-chrome-03130746/

https://techcrunch.com/2016/01/24/living-off-hackath
ons-the-possible-rise-of-the-pro-hacker/?guccounter=
1&guce_referrer_us=aHR0cHM6Ly93d3cuZ29vZ2xlLmNvbS8&g
uce_referrer_cs=bwwPOMw0ZsXxkdQLn5aXDA

Kiedy jednak popatrzyłem na wysokości oferowanych tam nagród,
zacząłem się zastanawiać kto właściwie ma być adresatem tych
konkursów i jaki cel przyświeca ich organizatorom. Na pewno
nie chodzi tu o wyłonienie światowej elity hakerów - żaden
"debeściak" przy zdrowych zmysłach nie połasi się na nagrodę
w wysokości kilku, kilkunastu, czy nawet kilkudziesięciu tysięcy
dolarów, skoro jego umiejętności pozwalają mu na zarabianie
kwot (bądź czynienie szkód) idących w grube miliony.
Z tego samego powodu odpada możliwość, że organizatorzy rekrutują
tym sposobem kandydatów do pracy - topowy haker nie będzie sobie
zawracał głowy robotą za jakieś 100 tysięcy dolców rocznie, skoro
jego działalność (legalna bądź nie) jest mu w stanie zapewnić
dochody wielokrotnie przekraczające takie kwoty. Zostaje więc
ostatnia ewentualność - Google i jemu podobni szukają jeleni,
którzy za miskę ryżu będą łatać im luki w ich sofcie. Czy
rzeczywiście właśnie o to chodzi w tego rodzaju konkursach?

do góry

On 2019-09-02 19:36, Piotrek wrote:
>Zostaje więc
>ostatnia ewentualność - Google i jemu podobni szukają jeleni,
>którzy za miskę ryżu będą łatać im luki w ich sofcie. Czy
>rzeczywiście właśnie o to chodzi w tego rodzaju konkursach?

Tak. Po prosty typowy (tani) SDB (StudentsBaseDevepolment).

AK

do góry

On 02/09/2019 19:36, Piotrek wrote:
> "debeściak" przy zdrowych zmysłach nie połasi się na nagrodę
> w wysokości kilku, kilkunastu, czy nawet kilkudziesięciu tysięcy
> dolarów, skoro jego umiejętności pozwalają mu na zarabianie
> kwot (bądź czynienie szkód) idących w grube miliony.

Jeśli te zarabianie grubych milionów ma się wiązać z ryzykiem
zapuszkowania to wielu z nich połasi się na grube tysiące na legalu.

Przykłady zapuszkowania cwaniaczków, nawet wyższej klasy i ostrożnych,
dostępne w internecie.

Po jakimś czasie niektórzy zostaną zatrudnieni. I zarobią nie grube
dziesiątki milionów nielegalnie tylko grube miliony legalnie. Nie
rezygnując z introwertyzmu, bez noszenia gnata i spania codziennie gdzie
indziej.

Nie ma w tym nic dziwnego. Optymalizacja ryzyka i szacunek potrzeb.
Posiadanie dwóch jachtów nie rózni się niczym od posiadania czterech
jachtów. Informatyk to pojmuje, prawnik czy bankier nie.

do góry

W dniu 2019-09-02 o 21:48, heby pisze:
> On 02/09/2019 19:36, Piotrek wrote:
>> "debeściak" przy zdrowych zmysłach nie połasi się na nagrodę
>> w wysokości kilku, kilkunastu, czy nawet kilkudziesięciu tysięcy
>> dolarów, skoro jego umiejętności pozwalają mu na zarabianie
>> kwot (bądź czynienie szkód) idących w grube miliony.
>
> Jeśli te zarabianie grubych milionów ma się wiązać z ryzykiem
> zapuszkowania to wielu z nich połasi się na grube tysiące na legalu.
>
> Przykłady zapuszkowania cwaniaczków, nawet wyższej klasy i ostrożnych,
> dostępne w internecie.
>
> Po jakimś czasie niektórzy zostaną zatrudnieni. I zarobią nie grube
> dziesiątki milionów nielegalnie tylko grube miliony legalnie. Nie
> rezygnując z introwertyzmu, bez noszenia gnata i spania codziennie gdzie
> indziej.
>
> Nie ma w tym nic dziwnego. Optymalizacja ryzyka i szacunek potrzeb.
> Posiadanie dwóch jachtów nie rózni się niczym od posiadania czterech
> jachtów. Informatyk to pojmuje, prawnik czy bankier nie.

dodam jeszcze jedno. Kiedyś na demoscenie kusiły nagrody. Teraz na wielu
party nagrodą jest tylko statuetka, bo większość tam wystawiających robi
to dla zabawy. Tak i z hackingiem....

--
http://kaczus.ppa.pl

do góry

On Tuesday, September 3, 2019 at 8:03:52 AM UTC+2, Tomasz Kaczanowski wrote:
> W dniu 2019-09-02 o 21:48, heby pisze:
> > On 02/09/2019 19:36, Piotrek wrote:
> >> "debeściak" przy zdrowych zmysłach nie połasi się na nagrodę
> >> w wysokości kilku, kilkunastu, czy nawet kilkudziesięciu tysięcy
> >> dolarów, skoro jego umiejętności pozwalają mu na zarabianie
> >> kwot (bądź czynienie szkód) idących w grube miliony.
> >
> > Jeśli te zarabianie grubych milionów ma się wiązać z ryzykiem
> > zapuszkowania to wielu z nich połasi się na grube tysiące na legalu.
> >
> > Przykłady zapuszkowania cwaniaczków, nawet wyższej klasy i ostrożnych,
> > dostępne w internecie.
> >
> > Po jakimś czasie niektórzy zostaną zatrudnieni. I zarobią nie grube
> > dziesiątki milionów nielegalnie tylko grube miliony legalnie. Nie
> > rezygnując z introwertyzmu, bez noszenia gnata i spania codziennie gdzie
> > indziej.
> >
> > Nie ma w tym nic dziwnego. Optymalizacja ryzyka i szacunek potrzeb.
> > Posiadanie dwóch jachtów nie rózni się niczym od posiadania czterech
> > jachtów. Informatyk to pojmuje, prawnik czy bankier nie.
>
> dodam jeszcze jedno. Kiedyś na demoscenie kusiły nagrody. Teraz na wielu
> party nagrodą jest tylko statuetka, bo większość tam wystawiających robi
> to dla zabawy. Tak i z hackingiem....
>
> --
> http://kaczus.ppa.pl

Nagroda za wygranie komputerowych mistrzostw świata była kiedyś (może
nadal jest) w wysokości 50tys USD. Zatrudnij teraz do zespołu dobrego
programistę, dobrego szachistę, sam weź się do roboty na dwa lata,
kup z chociaż z 30 komputerów do testów - za tę kwotę... no i pod
warunkiem że wygrasz.

Pozdrawiam

do góry

> Kilka razy natknąłem się na strony konkursów organizowanych
> przez Google, IBM i kilku innych gigantów,

Myślę, że dokładnie *to* jest celem tych konkursów. Tzn. to, żebyś się "natknął".
Wartość marketingowa takiej imprezy, a zwłaszcza publiczne pokazywanie, że się dba o
jakość (pomijając wykrzywienie tej koncepcji, bo kiedyś o jakość dbało się w firmie a
nie na konkursach, kto nam popsuje nasz produkt), jest większa, niż jej koszt. Więc
czemu nie?
Zwłaszcza, że formuła konkursu jest zawsze win-win:
- jak ktoś znajdzie dziurę, to będziemy wiedzieć, co załatać i się pochwalimy, że
załataliśmy,
- a jak nie znajdzie, to się pochwalimy, że nawet najlepsi hackerzy nic nie znaleźli.
Tak czy inaczej sukces. W dzisiejszym świecie chodzi o igrzyska.

Ale w twoim rozumowaniu są też luki. To trochę tak jakbyś argumentował, że nie ma
sensu robić zawodów sportowych w strzelaniu do tarczy, bo przecież *wiadomo*, że ci
co najlepiej strzelają robią za najemników na wojnach albo zarabiają lepszą kasę jako
płatni mordercy.
Otóż nie. Zupełnie szczerze wierzę, że na takich zawodach zdarzają się zupełnie
normalni sportowcy. Tacy, których kręci kolekcjonowanie medali.
Im też chodzi o igrzyska.

--
Maciej Sobczak * http://www.inspirel.com

do góry

> Myślę, że dokładnie *to* jest celem tych konkursów. Tzn. to, żebyś się "natknął".
Wartość marketingowa takiej imprezy, a zwłaszcza publiczne pokazywanie, że się dba o
jakość (pomijając wykrzywienie tej koncepcji, bo kiedyś o jakość dbało się w firmie a
nie na konkursach, kto nam popsuje nasz produkt), jest większa, niż jej koszt. Więc
czemu nie?
> Zwłaszcza, że formuła konkursu jest zawsze win-win:
> - jak ktoś znajdzie dziurę, to będziemy wiedzieć, co załatać i się pochwalimy, że
załataliśmy,
> - a jak nie znajdzie, to się pochwalimy, że nawet najlepsi hackerzy nic nie
znaleźli.
> Tak czy inaczej sukces. W dzisiejszym świecie chodzi o igrzyska.
>
> Ale w twoim rozumowaniu są też luki. To trochę tak jakbyś argumentował, że nie ma
sensu robić zawodów sportowych w strzelaniu do tarczy, bo przecież *wiadomo*, że ci
co najlepiej strzelają robią za najemników na wojnach albo zarabiają lepszą kasę jako
płatni mordercy.
> Otóż nie. Zupełnie szczerze wierzę, że na takich zawodach zdarzają się zupełnie
normalni sportowcy. Tacy, których kręci kolekcjonowanie medali.
> Im też chodzi o igrzyska.
>
> --
> Maciej Sobczak * http://www.inspirel.com

Już dawno temu przyszedł mi do głowy następujący, hipotetyczny
scenariusz: przypuśćmy, że Google, IBM, Microsoft, Amazon czy
jakikolwiek inny "gruby gracz na rynku" (albo kilku z nich)
postanawia organizować tego typu konkursy na dotychczasowych
zasadach (raz lub kilka razy w roku), przy czym wprowadza
jedną istotną innowację: pula do podziału wynosi każdorazowo
nie 2 czy 20 tysięcy, tylko np. 20 milionów dolarów. Dla każdego
z wymienionych wyżej gigantów wyłożenie takiej kwoty kilka razy
w roku to tyle, co splunąć, natomiast dla potencjalnych
uczestników takich konkursów byłaby to już suma na tyle
poważna, że z dużym prawdopodobieństwem przyciągnęłaby
autentyczną elitę i w znaczący sposób ostudziłaby jej
przestępcze zapędy. Ilu topowych hakerów ryzykowałoby
wierność "ciemnej stronie mocy" (co w dalszej perspektywie
może skończyć się wieloletnią odsiadką i innymi nieprzyjemnymi
konsekwencjami) gdyby mieli alternatywę w postaci regularnego
uczestnictwa w konkursach, które pozwolą im w pełni legalnie
wzbogacić się o kilka lub kilkanaście milionów? Dodatkowo
zadziałałaby tu selekcja naturalna: takie konkursy
przyciągałyby stałe grono tych najlepszych, a więc
i potencjalnie najgroźniejszych hakerów, praktycznie
ich "unieszkodliwiając" - każdy z nich mając stałe źródło
regularnych, milionowych dochodów, miałby już gdzieś jakąkolwiek
przestępczą działalność na czyjąkolwiek szkodę, po prostu
nie byłoby czym ich przelicytować. Z kolei ci spoza ścisłej
czołówki to płotki bez większego znaczenia - zbyt słabe,
żeby liczyć się w takich konkursach, więc automatycznie
zbyt słabe, żeby stanowić realne zagrożenie. Bredzę czy może
moja koncepcja, gdyby ktoś zechciał wprowadzić ją w życie, mogłaby
poważnie zachwiać "informatycznym ekosystemem"? A może światu
wcale nie zależy na eliminacji zjawiska "negatywnego hackingu"
i właśnie dlatego mój pomysł nie doczekał się jak dotąd
praktycznej realizacji - jest zbyt "niebezpieczny"?

do góry

On 2019-09-03 20:02, Piotrek wrote:
> Bredzę czy może
> moja koncepcja, gdyby ktoś zechciał wprowadzić ją w życie, mogłaby
> poważnie zachwiać "informatycznym ekosystemem"?

Nie wiem czy powaznie zachwiac, ale na pewno jest sensowna - wrecz
naturalna.

A może światu
> wcale nie zależy na eliminacji zjawiska "negatywnego hackingu"
> i właśnie dlatego mój pomysł nie doczekał się jak dotąd
> praktycznej realizacji - jest zbyt "niebezpieczny"?

Ano właśnie... :(

AK

do góry

> Bredzę czy może
> moja koncepcja, gdyby ktoś zechciał wprowadzić ją w życie, mogłaby
> poważnie zachwiać "informatycznym ekosystemem"?

Chyba jednak masz jakąś obsesję.
Zwróć uwagę, że formuła konkursu jest ograniczona - np. zepsuć coś w godzinę. I np.
nie wolno mu używać czegoś tam (np. całej chmury zhackowanych wcześniej czajników).
Hacker w warunkach leśnych nie ma takich ograniczeń i może spędzić na swojej
niegodnej działalności więcej czasu, użyć dowolnych narzędzi, itp.
To oznacza, że legalny konkurs i czarny rynek mają inne reguły, więc nie ma sensu
tych umiejętności porównywać. Jest zupełnie możliwe, że legalny hacker włamujący się
gdzieś w godzinę bez dodatkowych narzędzi jest obiektywnie lepszy (bardziej
kompetentny), niż ten na czarnym rynku.
A to oznacza, że Twoja obsesja na punkcie istnienia jakichś tajemniczych nad-mistrzów
co to letką ręką zgarniają miliony na nielegalu, może być błędna.

Analogicznie - równie dobrze mógłbyś stwierdzić, że najlepszą metodą wyeliminowania
rynku płatnych morderców jest podwyższenie wartości nagród na legalnych zawodach
strzeleckich. Otóż nie.

> A może światu
> wcale nie zależy

Tym firmom zależy na reklamie. Pula nagród jest po stronie kosztów a jaranie się tymi
konkursami po stronie zysków. Nagrody są takie, bo wystarczą. Nie szukaj tam
głębszych zjawisk.

--
Maciej Sobczak * http://www.inspirel.com

do góry

> 3. Bo 50k$ za dwa dni pracy to całkiem niezły wynik (18M$ rocznie)?

Tylko że te 50k$ jest pewnie do podziału między kilkanaście osób,
w dodatku taka fucha trwa właśnie tylko te dwa dni w roku, a nie
okrągły rok.

do góry