Cateva ganduri

In ultimii ani, echipele chineze de cercetare a vulnerabilitatii au dominat competitiile de exploatare din intreaga lume. Asa cum am scris mai devreme, acest lucru se datoreaza faptului ca marile companii chineze de tehnologie se afla intr-o lupta pentru cibersecuritatea mentala pe piata chineza. Acestia folosesc sarcinile CVE, exploateaza castigurile concurentei si recunoasterea de la marii furnizori de software ca demonstratie a expertizei lor in securitatea cibernetica. Este aproximativ ca Bugtraq in anii 1990.

Pentru a-si incuraja echipele sa participe si sa castige concursuri de exploatare, companiile au diverse structuri de stimulare, de exemplu, membrii echipei pastreaza castigurile si unele companii platesc chiar bonusuri pentru participarile castigatoare. Acestea sunt locuri de munca de vis pentru multi hackeri: cercetare cu norma intreaga; salariu mare; bonusuri mari; calatorii internationale si recunoastere.

Companiile obtin, de asemenea, valoare pentru investitia lor, departamentele lor de marketing sunt capabile sa exploateze recunoasterea internationala la maximum. Exista o relatie clara de castig-castig intre echipele de cercetare a vulnerabilitatii si companii. Pana acum, bine.

Anul acesta a avut loc o schimbare. Fortele de securitate au informat marile companii implicate in competitii internationale de exploatare ca regulile de gestionare a vulnerabilitatii s-au schimbat: nu exista terti, doar direct catre furnizor. Pentru cineva care nu este familiarizat cu modul in care functioneaza o societate bogata in context, aceasta poate suna ca o oportunitate pentru legiferarea limbajului si pentru a discuta despre definitia tertilor. Aceasta linie de gandire este gresita, in cel mai bun caz.

Mai intai trebuie sa ne dam seama ca aceasta nu este o lege noua, ci mai degraba o schimbare de politica emisa de politie. Asta inseamna ca politia este responsabila de interpretarea daca o actiune incalca politica.

mamadas en la playa maduras buenorras
le pilla pajeandose tetonas gratis
porno gratis viejas porno fuerte
metiendo mano en el bus fakings.tv
incesto real xxx jovencitasxxx
sexo maduras españolas se folla al
me corro sin avisar zoofila
enanas tetonas porno abuela
follar con jovencitas masaje final feliz
follando cincuentonas porno sin censura
videos gays españoles se folla a su hermana
vidio pirno maduras haciendo pajas
hombres corriendose videos gays españoles
tetas playa porno hablado español
viejas con jovenes follando jovencitos desnudos
tangas xxx xxxhd
abuelas porno españolas masajes eroticos chinos
peliculas porno de incesto descargar peliculas porno
www.sex videos prono
me follo a la vecina vecinas cachondas

In principiu, asta inseamna „ascultati intentia noii politici”, deoarece nu exista o „litera a legii” de urmat. Pentru Westeners acest lucru poate parea confuz, dar este esential sa intelegem ca formularea politicii este mai putin importanta decat intentia oficialilor care au emis-o.

Ceea ce aduce intrebarea mult mai interesanta: care este intentia acestei noi politici? Este important sa stim daca aceasta este o masura temporara, deoarece oficialii au decis ca in acest moment este deosebit de sensibil si nu vor atentia. Sau, daca aceasta este o schimbare de politica permanenta si va ramane in vigoare pentru o perioada lunga de timp.

Daca acest lucru este temporar (sa zicem, un an sau mai putin), atunci efectele vor fi probabil minime. Companiile si cercetatorii o vor astepta pur si simplu si vor aparea cu si mai multe exploatari pentru a se prezenta. Cu toate acestea, daca aceasta este o schimbare permanenta, atunci implicatiile sunt extrem de interesante. Din motive de argument, sa presupunem ca aceasta este o politica pe termen lung. Ce inseamna asta pentru comunitatea chineza de securitate cibernetica?

Presupunand ca restrictia este de lunga durata, efectele primului ordin vor avea impact atat asupra companiilor, cat si asupra cercetatorilor. Companiile vor pierde un vector de marketing substantial si mentinerea unor echipe uriase de cercetare va fi o scurgere financiara, cu putin in calea rentabilitatii investitiei. Reducerea dimensiunii echipelor lor de cercetare a vulnerabilitatii va avea un sens financiar rational. Cercetatorii vor pierde, de asemenea, o multime de avantaje majore: calatorii internationale si recunoastere, plus o parte substantiala a platii lor de acasa.

A ramane ca cercetator la o companie care nu poate participa la competitii de exploatare este mult mai putin atractiv decat alternativele. Lucrul la o mica companie de securitate nationala de aparare cibernetica va oferi aceeasi munca de cercetare cu norma intreaga, va fi patriotic si va oferi venituri semnificativ mai profitabile.

Prin urmare, daca schimbarea politicii este pe termen lung, efectele vor fi sa stimuleze echipele de cercetare a vulnerabilitatii instruite si motivate sa-si paraseasca rolurile existente si sa devina parte a structurii natsec. In acelasi timp, companiile care angajeaza aceste echipe uriase vor fi stimulate sa reduca dimensiunea unitatilor de cercetare pentru a le aduce in linie cu ROI-ul marketingului „11pt Arial font”.

Deci, fie aceasta este doar o schimbare temporara, iar echipele chineze vor domina din nou pwn2own in cel mai scurt timp, fie aceasta este o manevra extrem de inteligenta de inginerie sociala pentru a dezvolta capacitatea de securitate cibernetica ofensiva a Chinei. Timpul va spune.

Actualizati:

Exista o modalitate buna de a detecta ce impact are schimbarea politicii asupra echipelor de cercetare chineze, deoarece rezultatele lor sunt disponibile direct in vulnerabilitati de securitate de la furnizorii majori. Va exista un decalaj pe masura ce vechile vulnerabilitati raportate vor fi eliminate, dar daca volumul de echipe chineze in recunoasterea recomandarilor de securitate Microsoft, Android si Apple scade, atunci observatorul extern poate masura impactul. Aceasta este metrica de urmarit acum, confirmarile din actualizarile de securitate.

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR