Здравствуйте.
Как и где искать remote 0day exploits?
Спасибо.

Здравствуйте, nusik1990, Вы писали:

N>Как и где искать remote 0day exploits?
Ну как где, в исходниках и бинариках. Если Windows, то стоит обратить внимание на сетевые сервисы и браузеры — скачиваем их исходные коды и начинаем анализировать.

Ну и так до победного конца.

Здравствуйте, nusik1990, Вы писали:

N>Здравствуйте.
N>Как и где искать remote 0day exploits?
искать готовые сплоиты? информацию о незаткнутых дырах? искать сами дыры, о которых никто не знает?

Здравствуйте, Cyberax, Вы писали:

C>Здравствуйте, nusik1990, Вы писали:

N>>Как и где искать remote 0day exploits?
C> Если Windows, то стоит обратить внимание на сетевые сервисы и браузеры
C> скачиваем их исходные коды и начинаем анализировать.
сетевые сервисы -- в SMB2 была эксплуатируемая дыра, но мне не известно ни одного случая, чтобы ее заюзали для атаки и уж точно не было эпидемий червей.

атака на сетевые сервисы бесперспективна потому что большинство юзеров сидят за натами или проксями и потому иницировать подключение сложно (хотя и не невозможно). допустим, мы нашли дыру в сетевом сервисе и пишим сплоит. с высокой степенью вероятности его прибьют, т.к. переполнение буферов в сетевых пакетах оставляют мало места для обфускации, а без обфускации защиты, которые стоят у многих провов, прибьют вражину еще на подлете (теоритически, возможно поиграться с фичами TCP, которые IPS не поддерживают, но это сильно усложняет атаку).

далее -- X-бит у многих машин включен по умолчанию, а сетевые сервисы в винде по умолчанию поддерживают DEP. плюс рандомизация. ROP-атаки все еще возможны, но винда активно использует сандбоксин. вот мы получили адрес WinExec и пытаемся запустить файл -- облом. потому что у данного процесса нет таких прав. и реально только прочесть файлы, которые _уже_открыты_ (прочитать их можно и перебором дескрипторов).

короче, мазы нет. даже хрюшу будет атаковать сложно. молчу про семерку.


дыры в приложениях -- намного легче эксплуатировать. оставим в покое Acrobat Reader X, который пробить можно только в теории, но на практике -- дыры есть, исполнение кода возможно, но... фули что ты сделаешь из этого кода. разве что msg-box выведешь на экран. ах, да. реально стырить данные из уже открытых файлов. открытых акробатом, ес-но. а что такого ценного для хакера он открывает? ну я не знаю, может кто-то и предложит сценарий атаки, но у меня фантазии не хватает.

ms office пока еще без защиты. плюс, многие юзают старые (дырявые) версии, т.к. не хотят переходить на новые, ибо ms испохабила свой же офис как никто другой. но опять же -- формат офисных документов такой, что обфускацией там и не пахнет, а, значит, атака захлебнется.

якорь в заднице это не сетевой стек, а java. во-первых, там байт-код, во-вторых, классы. т.е. легко "размазать" триггерный код по десятку файлов и хрен их кто сможете детектировать. к тому же дыр в java просто дофига. и практически все они сводятся к обходу полисей. т.е. пишем на java код для загрузки exe Файла по сети и его запуска. или не exe, а elf. это ж системно-независимо вообще. короче, жаба это реальная угроза безопасности всего и вся. только дыры там искать затруднительно. и как видно, 90% дыр в жабе нашли буквально несколько человек, досконально знающие ее кишки. из чего следует логический вывод, что другие вряд ли что-то там найдут, во всяком случае на быстрый успех не стоит расчитывать...

Здравствуйте, мыщъх, Вы писали:

обфускации, а без обфускации защиты, которые стоят у многих провов, прибьют вражину еще на подлете (теоритически,
Ещё бы кто вел список ISP имеющих ips на всей полосе.. )

М>далее -- X-бит у многих машин включен по умолчанию, а сетевые сервисы в винде по умолчанию поддерживают DEP. плюс
минус пейраты — кто пользуется сборками отключающими dep по своим причинам..

> рандомизация.
Это вообще интерфейсно отключается отключается в венде?

> ROP-атаки все еще возможны, но винда активно использует сандбоксин.
ну.. сегодня нет выхода из бокса, а завтра в full disclosure кто-то отпиарится PoC'ом.. =),

> и реально только прочесть файлы, которые _уже_открыты_ (прочитать их можно и перебором дескрипторов).
Можно дописать в файл данные опасные для другого приложения и ждать что оно наступит на мину.

М>короче, мазы нет. даже хрюшу будет атаковать сложно. молчу про семерку.
Да, сделать кодеред стало сложно и дорого. Но самое главное — никто не оплатит.)

> ах, да. реально стырить данные из уже открытых файлов. открытых акробатом, ес-но.
> а что такого ценного для хакера он открывает? ну я не знаю,
> может кто-то и предложит сценарий атаки, но у меня фантазии не хватает.
Дело не столько в проблемах сценариев, сколько в том, что рынок как таковой сильно перекошен — заказчики 0day это либо vuln-брокеры, либо пугало по имени блэк-хэт-читер-крайм, либо *.gov, которые предпочтут купить у брокера. Возможно будут покупать пентестеры, но хз. =) Я правильно очертил заинтересованыее стороны?

> но опять же -- формат офисных документов такой, что обфускацией там и не пахнет, а, значит, атака захлебнется.
ну хз — я не в курсе что там насчёт внутриофисной сериализации объектов — под офисное по разве нет возможности накодить дианмически генерируемый распаковщик на поддерживаемом языке разметки, который будет вытягивать по маске из блока данных что-то и запскать его или сереализовать дальше?

М>якорь в заднице это не сетевой стек, а java. во-первых, там байт-код, во-вторых, классы. т.е. легко "размазать"
M> триггерный код по десятку файлов и хрен их кто сможете детектировать. к тому же дыр в java просто дофига.
M> и практически все они сводятся к обходу полисей. т.е. пишем на java код для загрузки exe Файла по сети и его
M> запуска. или не exe, а elf. это ж системно-независимо вообще.
Любопытно, спасибо..

> только дыры там искать затруднительно. и как видно, 90% дыр в жабе нашли буквально несколько человек,
> досконально знающие ее кишки. из чего следует логический вывод, что другие вряд ли что-то там найдут,
> во всяком случае на быстрый успех не стоит расчитывать...
ну.. смотря что считать за успех. =) Если успехом называется возможность всё заавтоматизировать на поток и потом продавать — да, наверное сложно. =)

--
Bye.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, nusik1990, Вы писали:

N>>Здравствуйте.
N>>Как и где искать remote 0day exploits?
М>искать готовые сплоиты? информацию о незаткнутых дырах? искать сами дыры, о которых никто не знает?

Предпочтительно новые сплоиты на
IE9, 8, 7 and mozilla, chrome and adobe flash and pdf, ms-office etc.

Здравствуйте, Cyberax, Вы писали:

C>Здравствуйте, nusik1990, Вы писали:

N>>Как и где искать remote 0day exploits?
C>Ну как где, в исходниках и бинариках. Если Windows, то стоит обратить внимание на сетевые сервисы и браузеры — скачиваем их исходные коды и начинаем анализировать.

C>Ну и так до победного конца.
вот что говорит клиент:
нужно загрузить (upload) и выполнить код (payload) на удаленной машине
1. Когда посещает сайт
2. By opening a doc we sent to target.

Предлагают $3K за один такой сплоит.
А сколько примерно времени нужно искать один такой сплоит?
Посоветуйте какую-нибудь кошерную книгу по всей этой тематике, а то я новичек в этом деле.
Спасибо.

Здравствуйте, nusik1990, Вы писали:

N>Предлагают $3K за один такой сплоит.
За такой exploit обычно предлагают по статье УК РФ 273 до 4 лет.

N>А сколько примерно времени нужно искать один такой сплоит?
N>Посоветуйте какую-нибудь кошерную книгу по всей этой тематике, а то я новичек в этом деле.
Я бы советовал не заниматься уголовщиной.

Да, стоит разделять исследовательскую работу, которая связана с поиском и анализом уязвимостей, и вопросы покупки/продажи уязвимостей для заведомо преступных целей. Первое — совершенно законно и нормально. Второе — не на этот форум.

Здравствуйте, мыщъх, Вы писали:

М>якорь в заднице это не сетевой стек, а java. во-первых, там байт-код, во-вторых, классы. т.е. легко "размазать" триггерный код по десятку файлов и хрен их кто сможете детектировать. к тому же дыр в java просто дофига. и практически все они сводятся к обходу полисей.
Не совсем. В основном, опасна эксплуатация багов с обычным overflow. Полиси для апплетов достаточно "деревянные", чтоб их обойти не так просто было.

http://www.cvedetails.com/product/1083/SUN-JDK.html?vendor_id=5

М>т.е. пишем на java код для загрузки exe Файла по сети и его запуска. или не exe, а elf. это ж системно-независимо вообще. короче, жаба это реальная угроза безопасности всего и вся. только дыры там искать затруднительно. и как видно, 90% дыр в жабе нашли буквально несколько человек, досконально знающие ее кишки. из чего следует логический вывод, что другие вряд ли что-то там найдут, во всяком случае на быстрый успех не стоит расчитывать...
Просто не всем интересно. Я находил повторяемые crash'и в JIT'е несколько раз, но разбираться было лень.

Здравствуйте, Cyberax, Вы писали:

C>Здравствуйте, nusik1990, Вы писали:

N>>Предлагают $3K за один такой сплоит.
C>За такой exploit обычно предлагают по статье УК РФ 273 до 4 лет.

C>Да, стоит разделять исследовательскую работу, которая связана с поиском и анализом уязвимостей, и вопросы покупки/продажи уязвимостей для заведомо преступных целей. Первое — совершенно законно и нормально. Второе — не на этот форум.
Говорит что для Law Enforcement Agency. Все равно незаконно? интересно.

N>>А сколько примерно времени нужно искать один такой сплоит?
N>>Посоветуйте какую-нибудь кошерную книгу по всей этой тематике, а то я новичек в этом деле.
C>Я бы советовал не заниматься уголовщиной.
да, такой хоккей нам не нужен.

Здравствуйте, grey_olli, Вы писали:

_>Здравствуйте, мыщъх, Вы писали:

_>обфускации, а без обфускации защиты, которые стоят у многих провов, прибьют вражину еще на подлете (теоритически,
_>Ещё бы кто вел список ISP имеющих ips на всей полосе.. )
такого списка у меня нет и я не представляю где его вообще можно взять, но попадались на глаза отчеты по которым в чумные годы доля траффика, который генерили черви, превысила юзерский трафф и продолжала расти. некоторые провы рапортовали даже о 80%+ зловредного траффа. как вы понимаете, после этого некоторое подсуетились и установили защитные комплексы. правда, к моменту завершения строительства оборонных рвов -- черви исчезли сами по себе, но защиты уже были поставлены.

М>>далее -- X-бит у многих машин включен по умолчанию, а сетевые сервисы в винде по умолчанию поддерживают DEP. плюс
_>минус пейраты — кто пользуется сборками отключающими dep по своим причинам..
минуточку. мы говорим об отключении X-бита в BIOS или отключении DEP в венде? если в биосе X-включен (а он включен по умолчанию), то арокбату-х плевать на настройки венды.

>> рандомизация.
_>Это вообще интерфейсно отключается отключается в венде?
оно обходится более элегантно -- поиском dll, используемым атакуемым процессом, которые не рандомизуются. и, как показывает практика, такие dll находятся, однако, это усложняет атаку и потому реально атаковать только юзеров, сидящих на древнем как говно мамонта софте. но для таких не нужды никакие зеро-дни.

>> ROP-атаки все еще возможны, но винда активно использует сандбоксин.
_>ну.. сегодня нет выхода из бокса, а завтра в full disclosure кто-то отпиарится PoC'ом.. =),
пока в боксе нет защиты от IPC и еще много чего нет. зато в сети есть презентации на тему "замок, построенный из песка" (игра слов, моп твою ятъ). презентации есть, а живой малвари нет, ибо у каваллерии нет мазы кидаться под танк. танки идут лесом, а каваллерия рубит мясо беззащитных юзеров без обновлений. честно говоря, крайне сомнительно, что кто-то будет атаковать сандбоксы, поскольку есть куча других объектов для атаки.

в настоящее время социальная инженерия актуальна как никогда. JavaScript в браузере имитирует работу антивируса, "находит" кучу "троянов" и предлагает их удалить за небольшое денежное вознаграждение. мы-то с вами знаем как выглядит антивирус и нас так просто не возьмешь, но вот домохозяйки не в состоянии отличить fakeAV от уже установленного антивируса и доверчиво вводят номер своей кредитки. что хакеру еще нужно?

или вот. на форуме, где в основном одни мужики, появляется сногшибательная красотка у которой чешется между ног и ей все равно с кем, лишь бы всадили да поглубже. по сети проносится волна возбуждения. а она отвечает в личку -- мужик, а ты не маньяк? слушай, тут есть такой сайт с доменным именем безопасные_знакомства_в_иннете.com, там за $5 проверяет нет ли у тебя криминального прошлого и не сидел ли ты за изнасилование. и высылают мне ответ. короче, сходи проверься. мужики ведутся, особенно если сайт сделан профессионально. а там не только кредитку просят, но и SSN со всеми данными. кредитка -- ерунда. оспорить транзакцию как два пальца об асфальт. а вот SSN это серьезно. кто-то будет выдавать себя за вас в преступных целях и хрен докажешь, что ты не преступник, а просто лох и осел.

обе атаки (а они жутко популярны) никаких дыр вообще не используют. и работают на всех браузерах, включая мобильные платформы. убыток от них -- коллосален. а защиты нет и быть не может (пропаганду компьютерной граммотности среди населения не предлагать).

отсюда -- даже если у вас установлены все патчи, вы все равно в опасности... а хакерам не нужно лезть в дебри. написать сайт, который выглядит серьезно -- любой студент или индус.

>> и реально только прочесть файлы, которые _уже_открыты_ (прочитать их можно и перебором дескрипторов).
_>Можно дописать в файл данные опасные для другого приложения и ждать что оно наступит на мину.
говорю же, что можно только читать. писать нельзя. т.е. можно, но через IPC, а для этого нужно курить его протокол и на той стороне проверяют полиси -- а можно ли писать в этот файл или нет. конечно, это замок из песка легко разрушить. взять хотя бы жабу -- сколько в ней дыр нашли? а говорили, что ее даже атомная бомба не берет.

М>>короче, мазы нет. даже хрюшу будет атаковать сложно. молчу про семерку.
_>Да, сделать кодеред стало сложно и дорого. Но самое главное — никто не оплатит.)
о том и речь. раньше было достаточно найти дыру. ну хотя бы фаззером. а теперь известные дыры есть. последняя дыра в акробате это очередная коррупция памяти. т.е. хип-спрей спасут отца демократии. если включен DEP -- фигня, у нас есть swf, который компилируется в память и потому имеет права на исполнение. казалось бы -- какие проблемы написать сплоит? а вот какие -- в десятке процесс акробата помещен в санд-бокс. легко написать shell-код, который выведет msg box. а вот скачать и запустить файл -- уже не катит. загрузка Urlmon'а еще проходит нормально, но попытка даунлоада (даже во временную директорию) пресекается виндой. аналогично с попыткой исполнения файла, уже находящегося на диске. ну хотя бы calc.exe.

хотя, никто еще серьезно не ковырял этот сандбокс, а потому оценки его стойкости высосаны из пальца. с другой стороны, если у вас все еще девятка (или ниже), то вас легко атаковать. а вот если у вас десятка... думаю, что чувак, который продемонстрирует PoC для десятки (и это будет не msg box), войдет в историю и будет отлит в гранит еще при жизни. и куча секьюрных компаний предложит ему высокооплачиваемую работу.

>> может кто-то и предложит сценарий атаки, но у меня фантазии не хватает.
_>Дело не столько в проблемах сценариев, сколько в том, что рынок как таковой сильно перекошен — заказчики 0day
_>это либо vuln-брокеры, либо пугало по имени блэк-хэт-читер-крайм, либо *.gov, которые предпочтут купить у брокера.
_>Возможно будут покупать пентестеры, но хз. =) Я правильно очертил заинтересованыее стороны?
хз, я поиском зеро-дней не занимаюсь, я разрабатываю защиты, которые их ловят in advance. могу лишь предположить, что зеро-дни нужны для целевых атак на крупную рыбу у которой стоят все обновления и секьюрность на высоте. с огромным удивлением открыл для себя сплоиты в которых юзается https, причем сертификаты не самопальные, а очень даже клевые такие сертификаты, которые васе пупкину ни за что не получить. если я правильно понимаю, то тут задейстованы либо бандиты (для них создать фиктивную фиру -- раз плюнуть) или гос. организации. ну и как вы понимаете, если exe файл скачивается по https, то его хрен поймаешь на канале. совершенно не представляю сколько стоит получить сертификат от verisign и остаться безнаказанным. но как ни крути, а это все-таки не вася пупкин, а кто-то покруче. и подготовительная операция стоит бабок.

_>ну хз — я не в курсе что там насчёт внутриофисной сериализации объектов — под офисное по разве нет возможности
_>накодить дианмически генерируемый распаковщик на поддерживаемом языке разметки, который будет вытягивать
_>по маске из блока данных что-то и запскать его или сереализовать дальше?
если взять последнюю дыру в rtf под офис, то там инвалидное поле идет открытым тестом. даже если шелл-код будет нераспознан, инвалидное поле видно невооруженным глазом. и что тут можно сделать?

Здравствуйте, Cyberax, Вы писали:

C>Здравствуйте, мыщъх, Вы писали:

М>>якорь в заднице это не сетевой стек, а java. во-первых, там байт-код, во-вторых, классы. т.е. легко "размазать" триггерный код по десятку файлов и хрен их кто сможете детектировать. к тому же дыр в java просто дофига. и практически все они сводятся к обходу полисей.
C>Не совсем. В основном, опасна эксплуатация багов с обычным overflow. Полиси для апплетов достаточно "деревянные", чтоб их обойти не так просто было.
C>http://www.cvedetails.com/product/1083/SUN-JDK.html?vendor_id=5
если брать по данным 2011 года, то вы не правы в 2008 году привеллегий было больше на одну дыру. 2009 — 2010 годы -- вот тут вы правы. было обнаружена куча ошибок переполнения, но по ряду причин только пару из них удалось заюзать.

переполнения вообще сложно эксплуатировать. ну нестабильно это. и системно-зависимо. а вот если мы получаем возможность средствами жабы скачать файл и запустить его без запроса на подтверждения, то это и универсально, и никакого ассемблера знать не надо.

следует логический вывод, что другие вряд ли что-то там найдут, во всяком случае на быстрый успех не стоит расчитывать...
C>Просто не всем интересно. Я находил повторяемые crash'и в JIT'е несколько раз, но разбираться было лень.
со всеми обновлениями? интересно...

Здравствуйте, nusik1990, Вы писали:

C>>Да, стоит разделять исследовательскую работу, которая связана с поиском и анализом уязвимостей, и вопросы покупки/продажи уязвимостей для заведомо преступных целей. Первое — совершенно законно и нормально. Второе — не на этот форум.
N>Говорит что для Law Enforcement Agency. Все равно незаконно? интересно.

Если ваш эксплоит применят на территории РФ то получится:

Статья 275. Государственная измена

Государственная измена, то есть шпионаж, выдача государственной тайны либо иное оказание помощи иностранному государству, иностранной организации или их представителям в проведении враждебной деятельности в ущерб внешней безопасности Российской Федерации, совершённая гражданином Российской Федерации, —

.... наказывается лишением свободы на срок от двенадцати до двадцати лет .....

Здравствуйте, nusik1990, Вы писали:

N>Здравствуйте, Cyberax, Вы писали:

N>А сколько примерно времени нужно искать один такой сплоит?
N>Посоветуйте какую-нибудь кошерную книгу по всей этой тематике, а то я новичек в этом деле.
лучшей книгой в этом роде считаю: http://www.goodreads.com/book/show/5130587-the-mac-hacker-s-handbook
(электронная версия в иннете находится без труда). пусть вас не смущает "мак" в заголовке. она шире

лучший ресурс на эту тему: www.corelan.be

искренне верю в ваши благие побуждения и работу на благо индустрии безопасности и познавательный дух исследовательского интереса.

Здравствуйте, мыщъх, Вы писали:

C>>Не совсем. В основном, опасна эксплуатация багов с обычным overflow. Полиси для апплетов достаточно "деревянные", чтоб их обойти не так просто было.
C>>http://www.cvedetails.com/product/1083/SUN-JDK.html?vendor_id=5
М>если брать по данным 2011 года, то вы не правы в 2008 году привеллегий было больше на одну дыру. 2009 — 2010 годы -- вот тут вы правы. было обнаружена куча ошибок переполнения, но по ряду причин только пару из них удалось заюзать.
Переполнение в JDK часто можно превратить в type confusion ( http://www.securingjava.com/chapter-five/chapter-five-7.html ). Т.е. "магически" получить ссылку на объект с повышенными привилегиями.

К примеру, см.: http://conferenze.dei.polimi.it/FDTC06/zzz%20Vertanen.pdf

М>переполнения вообще сложно эксплуатировать. ну нестабильно это. и системно-зависимо. а вот если мы получаем возможность средствами жабы скачать файл и запустить его без запроса на подтверждения, то это и универсально, и никакого ассемблера знать не надо.
Поверхность атаки не такая большая.

C>>Просто не всем интересно. Я находил повторяемые crash'и в JIT'е несколько раз, но разбираться было лень.
М>со всеми обновлениями? интересно...
На счёт всех обновлений — не знаю.

Здравствуйте, nusik1990, Вы писали:

C>>Да, стоит разделять исследовательскую работу, которая связана с поиском и анализом уязвимостей, и вопросы покупки/продажи уязвимостей для заведомо преступных целей. Первое — совершенно законно и нормально. Второе — не на этот форум.
N>Говорит что для Law Enforcement Agency. Все равно незаконно? интересно.
С большой вероятностью незаконно.

N>>>Посоветуйте какую-нибудь кошерную книгу по всей этой тематике, а то я новичек в этом деле.
C>>Я бы советовал не заниматься уголовщиной.
N>да, такой хоккей нам не нужен.
Кстати говоря, заниматься получением денег за поиск уязвимостей вполне можно — если это делать официально. У того же Гугла есть программа, по которой они платят за найденные дыры.

Здравствуйте, nusik1990, Вы писали:
C>>Ну и так до победного конца.
N>вот что говорит клиент:
N>нужно загрузить (upload) и выполнить код (payload) на удаленной машине
N>1. Когда посещает сайт
N>2. By opening a doc we sent to target.
N>Предлагают $3K за один такой сплоит.
N>А сколько примерно времени нужно искать один такой сплоит?
Это не сложнее, чем разбить стекло в машине и насрать в салоне. но на этом форуме этим не занимаются.

Здравствуйте, Cyberax, Вы писали:

C>Здравствуйте, nusik1990, Вы писали:

C>>>Да, стоит разделять исследовательскую работу, которая связана с поиском и анализом уязвимостей, и вопросы покупки/продажи уязвимостей для заведомо преступных целей. Первое — совершенно законно и нормально. Второе — не на этот форум.
N>>Говорит что для Law Enforcement Agency. Все равно незаконно? интересно.
C>С большой вероятностью незаконно.

N>>>>Посоветуйте какую-нибудь кошерную книгу по всей этой тематике, а то я новичек в этом деле.
C>>>Я бы советовал не заниматься уголовщиной.
N>>да, такой хоккей нам не нужен.
C>Кстати говоря, заниматься получением денег за поиск уязвимостей вполне можно — если это делать официально. У того же Гугла есть программа, по которой они платят за найденные дыры.
что-то не нашел такого... поделитесь плиз ссылкой на такую программу гугла.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, nusik1990, Вы писали:

N>>Здравствуйте, Cyberax, Вы писали:

N>>А сколько примерно времени нужно искать один такой сплоит?
N>>Посоветуйте какую-нибудь кошерную книгу по всей этой тематике, а то я новичек в этом деле.
М>лучшей книгой в этом роде считаю: http://www.goodreads.com/book/show/5130587-the-mac-hacker-s-handbook
М>(электронная версия в иннете находится без труда). пусть вас не смущает "мак" в заголовке. она шире

М>лучший ресурс на эту тему: www.corelan.be
спасибо большое за материалы!

М>искренне верю в ваши благие побуждения и работу на благо индустрии безопасности и познавательный дух исследовательского интереса.
да, благие.

Здравствуйте, nusik1990, Вы писали:

C>>Кстати говоря, заниматься получением денег за поиск уязвимостей вполне можно — если это делать официально. У того же Гугла есть программа, по которой они платят за найденные дыры.
N>что-то не нашел такого... поделитесь плиз ссылкой на такую программу гугла.
http://blog.chromium.org/2010/01/encouraging-more-chromium-security.html