新兴网络黑市销售数字内容保护零日漏洞-【专注于数字资产管理,数字资产交易,版权保护,版权交易,数据安全】墨者安全科技
墨者链--数字资产保护与交易_数字版权保护与交易_数字内容_数据信息安全保护与交易平台!墨者链--专业数字资产版权保护与交易平台!

主页 > 数字内容保护 > 新兴网络黑市销售数字内容保护零日漏洞

新兴网络黑市销售数字内容保护零日漏洞

墨者安全数字资产版权交易平台 2019-04-22 18:07 数字内容保护 89 ℃

“真正交易”在将这种灰色经济带到互联网上方面并非首创。一个名为WabiSabiLabi的网站在2007年开始运行,目标是成为数字内容保护销售漏洞的eBay。但由于卖家特不难在别彻底向买家展示漏洞本身的事情下提供可信的演示,该网站迅速垮掉了。虽然提供了多签名爱护和第三方托管服务,“真正交易”特不有大概会面对同样的咨询题。

数字内容保护

其它商品还有:入侵WordPress多站点配置文件的技术、针对安卓平台WebView股票扫瞄器的漏洞、针对Windows XP、Windows Vista、Windows 7平台上IE扫瞄器的袭击(价格为8000美元,比特币支付)。卖家写道:这是两个月前经过Fuzzing技术找到的零日漏洞,随时有大概被发觉,除非酬劳特不高,否则别大概随便讲。卖家还表示,能够利用通常想法做演示,假如故意请私信,别要白费时刻。Fuzzing是一种经过发送随机垃圾流量来测试对方啥时候会崩溃的漏洞探测技术。苹果、WordPress、谷歌、微软在该网站受到媒体曝光后还没有赋予评论。

别像零日漏洞行业里的其它成员,“真正交易”并别大概遇到道德或法律方面的障碍。比如法国的黑客公司Vupen声称自个儿只向北约成员国出售数字内容保护零日漏洞。近年来,零日漏洞销售基本称为地下市场的重要交易项目,政府的情报和执法机构往往是出价最高的买家。“真正交易”采取的Tor加密和卖家匿名策略大概会将政府方面的买家拒之门外,但这种匿名性相反地会吸引一些网络罪犯或受雇于独裁政权的黑客。多年以来,黑客们都在从互联网灰色市场上购买零日漏洞。现如今一具新市场希翼将这种数字军火贸易规范化,并经过暗网的匿名爱护快速扩张。

像大多数暗网市场一样,“真正交易”网站的运营方身份是一具谜。网站的治理层并没有即将响应研究者的采访请求,创建人将自个儿描述成信息安全领域的专家,专注于销售零日漏洞。在答应暗网博客DeepDotWeb采访时,网站治理层在Q&A中表示,他们由四个人组成,每个人在信息安全领域都有特不深的经验。暗网经济正在向进展成为真正的、非法的自由市场步步迈进,“真正交易”别过其中的一具代表。虽然丝绸之路也容忍卖家在网站上出售一些简单的黑客工具,它依旧差别多执行了“无受害人”策略的。

需要讲明的是,上面列出的漏洞都没有被验证是否真实可行,研究人员也没有啥合法的方式来测试它们。价格为17000美元的iCloud漏洞看上去非常诱人,因为它的功能包括猎取用户的全部敏感信息,包括Email和照片,价格也并别贵。举例来比较的话,该商品的卖家表示2012年的一具iOS漏洞能够卖到最高25000美元。2013年,纽约时报报道,那个标价为25000美元的漏洞被以50000美元的价格卖给了其它国家。

目前为止,该市场还没有提供特不多可供销售的漏洞,可是现有的少数几个令人印象深刻,比如一具标价为用比特币支付的价值17000美元的漏洞利用工具。它宣称自个儿是一种入侵苹果iCloud账户的新策略:经过一具跳板账户发起恶意连接,数字内容保护能够访咨询任意其它账户。该商品在描述中写道,假如买家感兴趣,能够安排演示,经过该想法入侵买家指定的任意账户。

 

“真正交易”没有这一类规范。它只包含两条规则,其一,禁止儿童色情;其二,禁止”doxing”,也算是公布特定用户的个人信息。但只要这种零日漏洞的销售保持匿名的形式,个人信息迟早成为交易中的一环。多年以来,黑客们都在从互联网灰色市场上购买零日漏洞。现如今一具新市场希翼将这种数字军火贸易规范化,并经过暗网的匿名爱护快速扩张。

“我们关于传统的未加密互联网上的零日漏洞代码、数据库有特不深的经验,但咨询题在于,这方面90%的卖家基本上骗子。技术功底深厚的买家总是可以经过商品描述信息和卖家演示判不出骗子,但有点卖家很聪慧狡猾。所以我们决定开辟一具相对来讲可信的网站,在提供防骗功能的并且保持高度的匿名性。”

“欢迎,我们建立该网站的最初目的是组建一具代码市场,在那个地点,购买者能够获得稀有的信息和代码。同时,在过程中能够彻底幸免诈骗和骚扰,享受真正的代码、真正的信息和真正的产品。”网站跑路卷走了数百万比特币。网站FAQ中写道,我们没有比特币钞票包,我们别想要你的比特币,并能够保证我们别大概在今后的某一天带着你的比特币跑路。“真正交易”属于别合法网站,它还销售洗钞票服务、被盗账户。买家能够自助选购大量的别合法商品,零日漏洞只属于该网站提供的LSD、安非他明、被盗账户项目中的特色商品。

顾客经常担心市场本身会窃取他们的比特币,“真正交易”网站在解决这方面的疑虑方面做得也比现有网站要好。“真正交易”依照交易额大小收取3%或0.1个比特币的手续费,但并别需要用户将比特币存储在自身操纵的比特币账户下。所以,它没办法像之前的Sheep Marketplace和Evolution这些交易网站一样卷钞票跑路。

零日漏洞爆出后 网络世界会发生啥?

上个月,暗网上浮上了一具名为“真正交易”(“therealdeal”)的黑市,它的要紧业务是向黑客兜售零日袭击手段。类似于丝绸之路(SilkRoad)及其大量拥趸,“真正交易”使用Tor匿名技术加密连接,交易则使用比特币,以躲藏买家、卖家、治理员的身份。目前市面上的其它网站只售卖差别多的低级黑客工具以及泄露的财务信息,而“真正交易”的组建者则表示,希翼吸引高端黑客在那个地点售卖零日漏洞、源代码,甚至提供黑客雇佣服务。这些商品都会特不吃香,只是在一些事情下,它们基本上独家售卖,同时是一次性销售。

“真正交易”官方也给出了针对假货的应对措施,类似于丝绸之路,该网站的交易模式是第三方托管,交易中的比特币被放置在第三方,假如卖家别发货,买家能够获得退款。和大多数暗网市场别同,“真正交易”还提供一种名为多重签名的交易技术。这意味着托管着比特币的第三方域名并且被买家、卖家和网站治理员所操纵,数字内容保护在买家确认收货时,至少需要三方中的两方签名接受,这给了网站方面一定的仲裁权。只是研究人员目前还别清晰网站方面怎么举行仲裁。在特不多事情下,数字资产交易,“真正交易”网站的治理员大概会亲自测试有争议的漏洞,以确认买家是否被骗。


当前位置:主页 > 数字内容保护 > 新兴网络黑市销售数字内容保护零日漏洞

标签列表
网站分类