Executando verificação de segurança...
Respondendo a "Não vale isso tudo não. Uma escalação de privil..." dentro da publicação Anthropic anuncia Project Glasswing
1
clacerda

Não é de hoje que eu digo que isso é diferente e cada mês que passa, a realidade corre na direção do que parecia exagero.

Não, eu não estou enviesado por hype. Você é que está mal informado sobre o que está sendo discutido.

Não tem nada a ver com SAST. Estamos falando de execução autônoma da cadeia de ataque, inclusive iteração com dentro de disassembler e tarefas de engenharia social, desde de enumeração de alvos até o comprometimento de forma autônoma. Reduzir isso a “SAST com esteróides” é simplesmente errar o objeto.

Pode discordar do hype. Mas, para discordar, primeiro precisa entender a coisa.

Carregando publicação patrocinada...
1
Silva97

Você também disse que zero-day em SO valia milhões de dólares e claramente isso foi "Fonte: Arial 12", pois eu conheço os preços reais e sei que não chega nem perto de milhões.

Agora você precisa se perguntar se realmente "entende a coisa" ou está apenas tirando tudo da cabeça.

Nem mesmo a Anthropic, que tá fazendo marketing pra caramba em cima disso, fez as afirmações que você fez. Exemplo: você disse que o Mythos era "sobrehumano" quando a própria Anthropic afirmou que só performava melhor do que a maioria dos profissionais, mas os melhores profissionais de segurança ainda performavam melhor.

Para algo ser "sobrehumano" mesmo, humano nenhum conseguiria fazer melhor. A própria Anthropic afirmou não ser o caso.

Você não está apenas enviesado pelo hype dos outros, você tá criando seu próprio hype imaginário que ultrapassa o hype da empresa que já tá hypando pra ganhar engajamento e dinheiro em cima disso.

Seu hype é mais exagerado do que o hype artificial movimetado por marketing.

0
clacerda
  • Autor
    Autor

fazer o que os melhores seres humanos fazem, só que 24/7 e 100x mais rápido pra mim é sobre humano. sobre preços é so olhar no zerodium rs.

1
Silva97

A Zerodium não divulga preços publicamente já tem muito tempo. E mesmo quando divulgava, a Zerodium era uma das que pagavam menos. Existem várias outras que pagam mais e, mesmo assim, não chega na casa dos "milhões de dólares" igual você alegou.

Repito a sugestão para parar e pensar se você realmente sabe do que está falando.

1
clacerda
  • Autor
    Autor

E mesmo assim os valores chegavam a US$ 2,5 milhões. Eu sei do que estou falando. Pode discordar da interpretação, mas não precisa fingir que eu inventei a ordem de grandeza de quanto vale um exploit de altissimo nível em infraestrutura crítica.

1
Silva97

E tem valores que chegam até 7~10 milhões de dólares. Mas o que você disse, foi:

E o fato de que cada zero-day real em sistema operacional ou browser vale literalmente milhões de dólares no mercado cinza.

Cada zero-day? Não. O que vale na casa dos milhões de dólares são exploits full-chain. Reportando zero-day ou até mesmo vendendo exploit para um zero-day, você nunca vai chegar nem perto de conseguir "milhões de dólares".

Um exploit full-chain é diferente: Não é um zero-day, são vários. Explorados em cadeia de forma automatizada pelo exploit.

Um full-chain precisa explorar desde uma vulnerabilidade na superfície de ataque até a escalação de privilégios. Tudo automático.

Só para dar um exemplo real, a Advance Security Solutions paga 80k dólares para um Linux LPE e 10 milhões de dólares para um full-chain Linux.

Eu sei do que estou falando.

Sabe mesmo ou só viu algo superficial sem entender direito o que viu e imaginou todo o resto?

0
clacerda
  • Autor
    Autor

Ótimo. Então o ponto fica simples: eu realmente escrevi uma coisa e tinha outra na cabeça. Não é qualquer zero-day que vale milhões; o que entra nessa ordem de grandeza são os casos extremos. Para mim isso estava implícito na discussão o tempo inteiro, rs. Mas, de todo modo, obrigado pela correção.