Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 67, views: 27.830 •
Bron: eWeek

VeriSign heeft achtduizend dollar uitgeloofd voor wie erin slaagt een bug in Windows Vista of Internet Explorer 7 te misbruiken om van op afstand code uit te voeren op het systeem.

De beloning komt van Verisigns iDefense Labs als reactie op het nieuws dat in louche milieus tot 50.000 dollar geboden wordt voor Vista-lekken. Het idee om hackers te betalen als zij goed werk leveren is overigens niet nieuw: de Mozilla Corporation gaf eerder al aan melders van kritieke bugs te willen belonen en 3Coms TippingPoint heeft een 'Zero Day Initiative' lopen waarin onderzoekers betaald worden voor het opsporen van lekken. Bedrijven als Verisign treden zo op als doorgever van het lek naar de betrokken softwarebedrijven en profiteren van de informatie om hun eigen veiligheidssoftware te verbeteren.

GeldHackers die aanspraak willen maken op de beloning, kunnen overigens maar beter voortmaken want slechts de eerste zes bugs zullen in aanmerking komen voor een beloning. Bovendien tellen fouten in release candidates en bètaversies niet mee. Bovenop de achtduizend dollar kunnen de submitters overigens twee- tot vierduizend dollar extra verdienen door de fout te documenteren en niet-kwaadaardige exploitcode mee te leveren. Microsoft is niet blij met de uitgeloofde beloningen, maar het zal het bedrijf ongetwijfeld goed doen dat een financiële stimulans nodig geacht wordt omdat hackers vooralsnog geen ernstige bugs aan het licht konden brengen.

Reacties (67)

Reactiefilter:-167066+153+214+32
Microsoft is niet blij met de uitgeloofde beloningen
Nee, ergens kan ik me voorstellen dat je niet blij bent als mensen fouten vinden in je software, maar aan de andere kant moet je gewoon zorgen dat je software goed in elkaar zit en mochten er fouten gevonden worden die gewoon netjes oplossen.

Dat er nu geld tegenover staat verandert daar niets aan vind ik.
1. maar aan de andere kant moet je gewoon zorgen dat je software goed in elkaar zit
Weet je hoe complex een besturings systeem is dat is gods onmogelijk om alle bugs eruit te vissen. Alle software bevatten bugs, het is per slot van rekeing door de mens gemaakt en die kunnen wel eens een foutje maken en daar komt je pas achter als het in the real world wordt gebruikt. Ook Cisco, Linux distro,s, virusscan software bevatten wel eens een bugje / lek
2. mochten er fouten gevonden worden die gewoon netjes oplossen.
Microsoft lost deze ook op in hun maandelijkse "dinsdag patch day". het duurt dan even voordat de uit komt maar het gebeurd wel.

Software is nooit 100% bug vrij.
"Software is nooit 100% bug vrij"

Dat is niet waar, zoals zo vaak het geval is met beweringen waar het woord nooit in voor komt.

/** Deze functie levert altijd 0 terug */
int bugvrij()
{
return 0;
}

je kan de correctheid van software bewijzen. dat is niet eenvoudig voor omvangrijke software, en dus niet goedkoop. voor een monolitisch os als windows is het waarschijnlijk nog onmogelijk, en sowieso veel te kostbaar. bijvoorbeeld kerncentrales gebruiken stukjes software die bewezen correct zijn.

Je stelt dat 'een besturingssysteem erg complex is'. Dat hangt sterk van het OS af. Windows is veel complexer dan bijvoorbeeld linux omdat de windows architectuur zelf complexer is, en dat komt vooral door de noodzaak om enerzijds een degelijk OS te maken dat anderzijds downwards compatible is met oude dos apps.

Voorts durf ik de bewering aan dan 'programming for security' een kunst is die microsoft pas relatief laat ontdekt heeft. En aangezien een goed begin het halve werk is....
Thus spake the master: "Any program no matter how small, contains bugs."

The novice did not believe the masters words. "What if the program were so small that it performed but a single function?" he asked. (Zoals het voorbeeld jij gaf)

"Such a program would have no meaning,(Zoals het voorbeeld jij gaf)" said the master, "but if such a one existed, the operating system would fail eventually, producing a bug."

But the novice was not satisfied. "What if the operating system did not fail?" he asked.

"There is no operating system that does not fail," said the master, "but if such a one existed, the hardware would fail eventually, producing a bug."

The novice was still not satisfied. "What if the hardware did not fail?" he asked.

The master gave a great sigh. "There is no hardware that does not fail," he said, "but if such a one existed the user would want the program to do something different, and this too is a bug.

A program without bugs would be an absurdity, a nonesuch. If there were a program without any bugs the world would cease to exist."

Geoffrey James - The Zen of Programming


En over correctheid bewijzen.. Dat hadden ze van de software van de Arina 5 ook .. en toch ontplofte het hele ding als een raket..

Leuke theorie.. van je .. maar de praktijk is anders.
tis niet mijn theorie, maar die van de theoretische informatica.

weet jij zeker dat de software van de ariane 5 helemaal gecheked was, want daar staat of valt je voorbeeld mee? En als ik me niet vergis, was het ontploffen van die raket consequentie van de software die ingreep omdat het ding van koers af ging, omdat de data -invoer- een paar waardes in het US metrisch stelsel bevatte ipv het europese. Als dat het geval was, zat er dus geen bug in de software, maar een fout in de invoer. Dat is iets wezenlijk anders.

Enneh, je snapt toch wel dat
""There is no operating system that does not fail," said the master, "but if such a one existed, the hardware would fail eventually, producing a bug."
Wou jij beweren dat als applicatie A meldt 'cannot write to file ...' omdat de onderliggende disk crashed dat dat dan een applicatie bug is? Of wanneer kosmische straling je memory corrumpeert waardoor je executabe code wijzigt, dat dat een software bug is?

"If it contains the word Zen, it must be true."
Dr. Oetker - The Zen of using your own brain
De reden dat de ariane ontplofte was slechte documentatie

Men heeft code van de Ariane 4 gebruikt, die zichzelf als volstrekt betrouwbaar had bewezen. Echter, in de code zat een aantal niet-gedocumenteerde aannames over het gewicht van de raket. Toen die code voor de veel zwaardere Ariane 5 werd gebruikt, liep het zaakje de soep in.

De fout zat dus wel degelijk in de software, en niet in de invoer...
Wat ik gehoord heb over de Ariane was, dat de software goed werkte in de vorige versie, maar dat de grotere versnellingen die de krachtigere v5 veroorzaakte een grotere input dan voorzien, die weer tot een onbehandelde overflow exceptie leidde.
Dr. Oetker

de US heeft helemaal geen metrisch stelsel.

we spreken over het Metrisch stelsel en het Imperial stelsel
Je compiler kan ook niet deugen, de statements in je programmacode zijn dan correct maar de executable niet. Het programma heeft dan toch een bug.
Jij hebt gehoord dat de software van een Raket last had van een overflow exceptie.. :9
/** Deze functie levert altijd 0 terug */
int bugvrij()
{
return 0;
}
En aangezien je niet weet wat er allemaal in de gebruikte libraries zit kan je zelfs hier niet zeker van zijn.

Schrijf je hetzelfde in pure assembler dan kan je wel zeggen dat ze bugvrij is...
Het desbetreffende software component dat faalde kwam uit de ariane 4.. Die een stuk minder krachtig was. De oorzaak dat het een volledige crash heeft veroorzaakt is dat ze software afhandeling die getest hebben maar bewezen hebben.

Het bewijzen van coden is een hachelijke zaak. Testen is eigenlijk de enige optie.
@ Green.Velvet

Ook dan niet.. Wie garandeert dat je geen bugs in je hardware hebt. En zeg niet dat die er niet zijn.. Ze zijn er bij de vleet..
tis niet mijn theorie, maar die van de theoretische informatica.
Het gaat wat offtopic allemaal, maar de fundamentele informatica heeft al bewezen dat je voor non-triviale programma's (bijvoorbeeld met loops) geen programma kan schrijven die alle `bugs' eruit weet te halen. Maw: je kunt nooit formeel bewijzen dat een niet-triviaal programma/systeem zoals een OS bug-free is, ook niet in de toekomst (tenzij bijv quantum-computing straks onverwacht een verschuiving in van fundamentele mogelijkheden met zich meebrengt...ik hoop het maar reken er niet op).
Wou jij beweren dat als applicatie A meldt 'cannot write to file ...' omdat de onderliggende disk crashed dat dat dan een applicatie bug is? Of wanneer kosmische straling je memory corrumpeert waardoor je executabe code wijzigt, dat dat een software bug is?
Dat ligt aan de definitie van de term `bug' die soiweso al vaag is. Jij definieert `bug' waarschijnlijk als een een error/failure waarvan de verantwoordelijkheid duidelijk aan te wijzen is in de code van het programma zelf en waar je `in alle redelijkheid' van kan zeggen dat de verantwoordelijkheid ook bij de makers van die software ligt. Ik heb echter geleerd dat een `bug' feitelijk alles kan zijn dat er voor zorgt dat de software niet voldoet aan de verwachtingen, zelfs als deze volledig aan de specificaties voldoet en niet crasht. Dat is wat er wordt bedoeld met die quote van de Zen of programming.

En dan nog ff ontopic: persoonlijk ben ik wel een voorstander van dit soort acties. Natuurlijk is te verwachten dat als er bugs gevonden worden deze misschien voor tijdelijk gevaar zorgen vanwege schadelijke exploits, maar als programmeur/ontwikkelaar heb ik een onderbuik gevoel dat het zodoende snel kunnen fixen van bugs en het leveren van een zo goed mogelijk systeem (al dan niet door patches) een hoger doel is dan het laten zitten van bugs omdat niemand van het bestaan afweet.
inderdaad, als gevolg van numerische afrondingsproblemen is er een overflow opgetreden, waarna de raket zichzelf onschadelijk heeft gemaakt.

edit: verkeerde tread...
En opeens dan weet je het: Je wordt professioneel hacker :+
Microsoft niet blij met de beloningen?
Microsoft zou hier zelf mee moeten komen!
maar het zal het bedrijf ongetwijfeld goed doen dat een financiële stimulans nodig geacht wordt omdat hackers vooralsnog geen ernstige bugs aan het licht konden brengen.
Wat was ookalweer de aanleiding van deze beloningen? Oja, omdat in het louche-circuit 50.000 euro zou worden geboden voor dit soort informatie. Misschien zijn er nu al lekken die nog niet algemeen bekend zijn, maar waar al wel 50k voor neergelegd is. En achter die lekken komen ze bij Microsoft pas weer veel later! Niet aan het licht gebrachte lekken en niet bestaande lekken zij twee verschillende dingen.
"Hi bill, ik heb een fout in windows gevonden, er wordt mij nu $50.000 geboden, voor 100.000 mag je hem ook weten, voor 200.000 kan je het alleenrecht kopen."


ben benieuwd
Soms zijn de exploits die in IE6 werken, ook in IE7 van toepassing.
Kijk maar naar de buffer overflows op de cracksite seriall.com, als ik daarheen ga loopt mijn IE7 vast én mijn Firefox (buffer overflow?).
Ik gebruik weliswaar Windows XP maar ik kijk niet raar op als onder Windows Vista deze exploit ook werkt.

(Op seriall.com laadt hij een iframe in van de website installare.net)
Nou das 8000 dollar snel verdiend toch?! :) Ga bellen man!
nou dan moet je maar eens beetje beter beveiligen.
Ik krijg een melding van IE7 dat er iets wilt draaien dat geinstalled moet worden .

En vanuit McAfee krijg ik melding dat er een Script geblokeerd is en een trojan gevonden is in een .htm bestand.

Verder zet ik dan gewoon security wat hoger en kan ik alle namen en lijsten browsen (weliswaar met elke keer de meldingen als een pagina herlaadt).

Geen bug dus.
Gelukkig hebben we daar een fijne vmware client voor die Damn Small Linux opstart en zo kun je downloaden en doen wat je maar wilt...

Cracksites -> virtuele machine opstarten.

Bij de rest draai ik gewoon lekker Windows XP en heb ik nergens last van ;)
8000 euro per bug? Dat bedrijf gaat failliet! }> :+
Alleen de eerste 6 worden betaald he ;)
tja daarna meld je vriendin de volgende 6 en daarna je schoonmoeder etc etc
maar dan zijn er toch al 6 bugs gemeld, dus de rest valt buiten de boot.
Wel lezen:
Hackers die aanspraak willen maken op de beloning, kunnen overigens maar beter voortmaken want slechts de eerste zes bugs zullen in aanmerking komen voor een beloning. Bovendien tellen fouten in release candidates en bètaversies niet mee.
En vind het een goed initiatief, zouden meer beveiligingsbedrijven moeten doen en niet alleen voor Windows, maar ook software die op Windows, MacOS en Linux draait.
Dan geef je de 7e bug aan de onderwereld en heb je 50K in de pocket!
(en je schoonmoeder ook)
Het enige wat ze hoeven te doen is zeggen dat het geen bug was maar n feature.

Dan hoeven ze niet te betalen maar weten ze toch dat ze iets moeten fixen
VeriSign looft het uit he, niet MS (waarom zouden ze er anders niet blij mee zijn).
Ja, als MS (ipv VeriSign) dit zou uitloven dan verzonnen ze wel een smoes, want Bill Gates geeft nooit geld weg.... |:(
het gaat een lekkere kant op met de mensheid als ze nu al geld moeten zien voor ze een bug bekend willen maken.

Stel je voor dat je naar je buurman gaat met het bericht: Beste buurman - Uw huis is niet goed beveiligd, je kan er heel makkelijk binnenkomen. Nu weet ik via-via dat een beetje inbreker voor deze informatie E2500 betaald, dus zie ik van U gaarne E500 voor deze informatie.

Nee.. ik vind het geen goede ontwikkeling. Als je geld wil verdienen aan het opsporen van bugs, dan ga je maar voor een security bedrijf -of- voor de ontwikkelaar zelf werken. Betaalt misschien niet zo goed, maar misschien bevalt het beeld dat je aanstaart in de spiegel je wel beter.
Je bent appels met peren aan het vergelijken. Jij hebt geen enkel belang bij de beveiliging van het huis van je buurman, tenzij ze via dat huis in jouw huis kunnen komen.
Verisign heeft wel degelijk belang bij een veilig(er) Windows en IE, aangezien Verisign veel doet op het gebied van beveiliging (zoals het uitgeven van certificaten).
Als IE7 en/of Vista lek blijkt te zijn, zou Verisign bij diefstal van (bijvoorbeeld) geld de schuld van kunnen krijgen, aangezien zij de certificaten uitgegeven hebben waarmee de diefstal uiteindelijk mogelijk is geweest.

En wat betreft werken bij een security bedrijf en/of ontwikkelaar: er zijn genoeg hobbyisten die van hun hobby NIET hun beroep willen maken. Ik squash, maar als ik van die hobby mijn beroep zou maken zou ik voor het eind van het jaar het loodje leggen omdat ik geen droog brood met m'n hobby kan verdienen...
Je moet het zo zien: Je buurman zegt: ik loof 500 euro uit voor degene die mij tips geeft hoe ik mijn huis beter kan beveiligen. Geef je dan als een van de eerste 6 de tip dat zijn voordeur open staat, dan krijg je 500 euro.

Jij stelt het nu precies andersom
Stel je voor dat je naar je buurman gaat met het bericht: Beste buurman - Uw huis is niet goed beveiligd, je kan er heel makkelijk binnenkomen. Nu weet ik via-via dat een beetje inbreker voor deze informatie E2500 betaald, dus zie ik van U gaarne E500 voor deze informatie.
Nee, dit is anders. De hacker c.q. beveiligingsexpert, die het lek ontdekt neemt niet het initiatief om geld te vragen. Een opdrachtgever biedt geld aan de hacker c.q. beveiligingsxpert, die een zwakke plek kan ontdekken.

Ik zet alleen een beetje mijn vraagtekens bij de ethiek van Verisign. Zij loven geld uit voor het ontdekken van lekken in andermans (MS) software. Als dit uitpakt in negatieve publiciteit voor MS, dan heeft een MS een goede basis voor een schadeclaim, lijkt mij.

Maar wie weet, misschien hebben de beide bedrijven één en ander in het geheim al afgestemd. Het kan natuurlijk ook leiden tot positieve publiciteit.
Wat jij beschrijft is oa. chantage en medeplichtigheid tot poging tot inbraak/diefstal/inbreuk op eigendomsrechten.
Lijkt me toch iets anders dan het economisch uitbuiten van de feilbaarheid van de mens ten behoeve van digitale veiligheid en productiviteit. Iets anders, precies het omgekeerde eigenlijk! Rare vergelijking dus...

Veel plezier met het kijken in je lachspiegel.
Jammer dat de NSA mee heeft geholpen aan de beveiliging van Windows Vista. Er zullen dus weinig tot geen bugs worden gevonden. Of het moet in Office o.i.d. zijn.
Je bent gelukkig niet zo heel erg naief...

NSA zijn ook maar ambtenaren. En niet de meest betrouwbare. Natuurlijk zitten er gaten in het systeem.
Ik denk niet dat ze echt gaten vinden die ze op afstand kunnen uitbuiten. Daarvoor is de NSA research gewoon te goed. Kijk maar naar selinux.

Het zal wel bij kleine bugs blijven.
En... waar precies is Office een onderdeel van Vista of IE7 geworden?
De NSA heeft ook geholpen bij Windows 2000, XP, Max OS X. Novell NetWare (en waarschijnlijk ook Suse). En ook in die OSsen zitten nog steeds bugs.

Wat iedereen even over het hoofd ziet is dat de NCSC (National Computer Security Center) een onderdeel is van de NSA, deze afdeling is verantwoordelijk voor het uitdelen van security certificaten aan OSsen en applicaties. Zonder de juiste certificaten mag het OS niet worden gebruikt door US overheids instanties of met zware beperkingen (een bekend voorbeeld is NT4 die mocht door overheids instanties alleen voor gevoelige data worden gebruikt als er geen netwerkaart en geen floppy drive in zat.).

Het grootste verschil is nu dat de NSA niet alleen het resultaat van de tests aan MS heeft verteld maar ook een aantal aanbevelingen heeft gedaan, waar MS naar heeft geluisterd.

Tevens heeft de NSA een paar hele stevige super computers staan. De officiele specs zijn redelijk geheim, maar ik neem aan dat iedereen snapt dat er ergens iets niet klopt als een overheids instantie wel een systeem heeft als Echelon, maar niet in de top 10 van zwaarste supercomputers staat.
hoezo is Microsoft niet blij? Die hackers onderzoeken je systeem op bugs en een ander dan jijzelf betaald en motiveert ze! Goedkoper kan het toch niet :)
Het bedrijf is amerikaans, niet nederlands. Nederlanders zijn goedkoop. Amerikanen trots :P
Amerikanen zijn chauvinistische zelfingenomen dominante idioten.... "Pardon my french"
Ja idd, die fransen kunnen er ook wat van ;)
Mogelijkheid 2: door deze beloning gaan er meer mensen zoeken, dus grotere kans dat de bugs gevonden worden. Maar die mensen zijn niet helemaal gek, die willen niet 5k, niet 50k, maar 55k. Gewoon aan beide doorgeven. Tuurlijk dan kan MS het wel oplossen, maar dat duurt een tijdje. Dan liever dat de exploit nooit gevonden zou zijn

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013