Ehemalige NSA-Analysten beginnen Unternehmen für Zero-Day-Schwachstellen in Webseiten recherchieren

2013-12-28  |  Comebuy News

Zwei ehemalige National Security Agency (NSA) Computer Netzwerk-Operationen Analysten eingerichtet haben eine Firma namens Synack, die Bug-Bounty-Security-Experten von auf der ganzen Welt--auch von innerhalb der NSA auf freiberuflicher Basis--Zero-Day-Schwachstellen in Websites entdecken entsprechend anbietet.

Comebuy Verwandte Artikel: Zwei neue Sicherheit Bücher nachzudenken: wie verletzlich sind wir?NSA verteidigt Spionage, als Gegenreaktion RagesFed offensive Betankung Hacker Underground, Berichten, dass SaysNSA Spionage bedeuten könnte, dass US-Tech-Unternehmen verlieren internationale BusinessUS NSA Zugriff Daten ohne Genehmigung, Leaker sagt

CEO Jay Kaplan und CTO Mark Cuhr sagen, die Idee hinter der Menlo Park, Kalifornien ansässige Firma gründeten im Januar zusammenzubringen Sicherheitsexperten mit dem Talent von Zero-Day-Fehler in der Software zu finden um festzustellen, ob sie in die Websites und Anwendungen solche Kunden finden können. Null-Tage sind Schwachstellen in Software und Dienste, die noch nicht allgemein bekannt sind und somit nicht noch ausgebesserte oder auf andere Weise geschützt, so dass sie gefährliche Löcher, die ein Angreifer ausnutzen könnte.

PayPal öffnet Bug-Bounty-Programm für Minderjährige

"Wir bezahlen Forscher für Schwachstellen gefunden," sagte Kaplan, sagen, es hängt von der schwere. Bug-Bounty-Preise werden i. d. r. mindestens $500 zu mehreren tausend für "schweren Fällen" mit Bezug zu Datenbank Kompromisse, zum Beispiel. Kunden, denen sie ablehnen zu nennen, würde zahlen ein wiederkehrendes Abonnement mit dem anfänglichen Fokus auf Internetverbindung Webanwendungen und Websites, die die Bug-Jäger prüfen werde.

Es gibt mehrere Bug-Bounty Prämienprogramme bekannt, darunter auch solche von Google, Microsoft und PayPal--, die Barzahlung wird für Forscher, die Beweis für ernste Sicherheitslücken führen. Regierungen werden auch geglaubt, um Zero-Day-Schwachstellen, auch für geheime Operationen zu kaufen.

Kaplan sagte, dass solche Beziehungen mehrere Bug-Jäger auf der ganzen Welt, darunter bei der NSA, pflegte der wäre zur Verfügung für bestimmte Zuordnungen für Kunden, die Arbeiten über das Start-Up technische Plattform für die End-to-End-Test-Sicherheitsanfälligkeit umfasst. Das Ziel für jedes Unternehmen eine Chance, sein eigenes Bug-Bounty-Programm zu haben, sie sagen, und sie erwarten, dass Kunden in großem Maßstab unterstützen zu können.

Der erste Schwerpunkt liegt auf "weiterleben Anwendungstests" internetseitige Websites bereits in der Produktion, sagte Kaplan. Dies im wesentlichen es ausdrücken würde angegriffen, er räumte ein, aber er fügt hinzu, dass solche hat einen Weg um sicherzustellen, dass Kunden wissen, was passiert.

Kaplan sagte, seine eigenen Erfahrungen bei NSA ihn davon überzeugt, dass die automatisierte Schwachstelle-Testtools und Scanner einfach nicht genug, um ernsthafte Sicherheitslücken finden und das menschliche Element benötigt wird.

Solche kündigte heute $1,5 Millionen in Venture-Capital-Finanzierung aus einer Kombination von Investoren, die einschließen, Kleiner Perkins Caufield & Byers, Greylock Partners, Wing Venture Partners, Allegis Hauptstadt und Derek Smith, CEO von Start-up Form Sicherheit. Form Sicherheit soll auch die Synack-Technologie selbst testen.

Ellen Messmer ist leitender Redakteur bei Network World, IDG-Publikation und Webseite, wo sie News und Technik Trends mit Bezug zu Informationssicherheit deckt.

« Back