Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 66 reacties, 39.085 views •

In het kader van Googles beloningsprogramma om beveiligingslekken te vinden, zijn er 1100 bugs en kwetsbaarheden bij de software en diensten van het bedrijf gevonden. Google heeft daarvoor meer dan 310.000 euro uitgeloofd aan de hackers.

googleOngeveer 200 hackers zijn al iets meer dan een jaar bezig met het vinden van beveiligingslekken en bugs op de websites en diensten van Google. In totaal zijn er al 1100 beveiligingsproblemen gevonden op Google.com, Youtube, Orkut, Blogger en andere diensten, meldt Google. Ongeveer de helft van die lekken werd gevonden in software van bedrijven die Google heeft overgenomen. 730 van de 1100 lekken kwamen in aanmerking voor een beloning, die dus gemiddeld 424 euro bedraagt.

Google startte het programma naar aanleiding van het grote succes van hun Chromium-beloningsprogramma, en hun ervaring met dergelijke projecten. De ontwikkelaars concluderen dat: "Veel meer mensen naar beveiligingslekken zoeken door bug bounty-programma's."

Reacties (66)

Reactiefilter:-166064+138+23+30
Moderatie-faq Wijzig weergave
Het is mijn raadsel waarom mensen zeggen dat deze opzet van Google 'ook wel gevaarlijk is'. Ja, natuurlijk er zoeken ook hackers naar lekken bij Google die een gevonden lek wellicht niet melden. Maar voordat Google beloningen uitdeelde konden en zullen waarschijnlijk diezelfde hackers ook naar de lekken gezocht hebben. Alsof al deze hackers de source code van alle Google diensten krijgen opgestuurd, waarin ze dan eens fijn kunnen neuzen. Nee ze moeten het in principe met dezelfde informatie doen (vanuit de kant van Google) als Jan met de Pet.

Nu heeft een hacker die een lek bij Google vindt een extra goede reden om hem te melden, in plaats van hem voor zichzelf te houden.

Stellen dat 424 euro weinig is, is natuurlijk erg kort de bocht. Er zitten ook vrij onbenullige dingen tussen, meer schoonheidsfouten dan ernstige lekken. En inderdaad ik zie op de blog van Google ook mensen onder "Sustained Support" staan die zelfs bugs gevonden hebben op www.google.com zelf. Dat levert vast wat meer op. Aan de andere kant zullen ook vele hackers uren kwijt zijn geweest aan zoeken op www.google.com, die niets vonden. Maar is dat zo erg/vreemd? Stel je voor dat anno 2012 elke willekeurige slimme jongen met de computer zo nog een lek uit www.google.com plukte, dan zou die site sowieso nooit de uptime hebben gehad die het nu heeft. Dan was het een hele instabiele site geweest.

Het staat iedereen vrij zijn kans te wagen om wat lekken te vinden in de producten van Google? Sommigen zullen moeten concluderen na heel wat uurtjes spelen dat de fouten die er nog zijn in Google helaas niet door hen ontdekt gaan worden.

edit: zie zelfs dat Google de vaste reporters op de hoogte houdt van de te ontvangen gelden voor het melden van bepaalde bugs. Dus je weet als hacker waar je, geheel vrijwillig, naar zoekt en wat je daar voor krijgt als je het vind. Heel eerlijk systeem toch?

[Reactie gewijzigd door Malarky op 11 februari 2012 01:22]

Echt een super actie is dit zeg, zo ben je echt slim bezig

Waarschijnlijk is dit veel goedkoper dan zelf mensen inhuren die gaan lopen zoeken. Het heeft ook wel nadelen (aanmoedigen van zoeken), maar echt een slimme zet van google!
Echt een super actie is dit zeg, zo ben je echt slim bezig

Waarschijnlijk is dit veel goedkoper dan zelf mensen inhuren die gaan lopen zoeken. Het heeft ook wel nadelen (aanmoedigen van zoeken), maar echt een slimme zet van google!
Voor 310.000 euro/jaar kan je precies 1.5 software engineer in huren die waarschijnlijk meer bugs kunnen zoeken dan het bovental.

Dit heeft ook niets te maken met het wel of niet inhuren van mensen of de kosten daarvan, maar er proberen voor te zorgen dat mensen de hack bij google melden ipv deze te melden bij andere hackers, of exploit makers, of spammers.

Slim? ja, maar dus niet om kosten te besparen, maar meer om kosten te voorkomen.
Die 1,5 engineer gaan echt niet al dus bugs vinden. De reden dat er zoveel gevonden worden is dat er veel verschillende ogen naar kijken. Er gaan voor die 310.000 euro veel meer mensen dan die 1,5 engineer aan het werk en je betaalt alleen diegenen die wat gevonden hebben, ideale situatie als bedrijf.
Dat is dan ook gelijk het hele idee: dat iedereen massaal gaat zoeken en dat vooraal aangeeft zodat het opgelost wordt. Beter iemand die er geen misbruik van maakt dan dat er straks iets op straat ligt.
730 van de 1100 lekken kwamen in aanmerking voor een beloning, die dus gemiddeld 424 euro bedraagt.

Ieder lek zou toch in aanmerking moeten komen voor een beloning of zie ik dit nu verkeerd??
Niet ieder lek is even ernstig...
Dat is juist, maar dan geeft je toch gewoon een kleiner bedrag voor kleine lekken?
daarom staat er waarschijnlijk "gemiddeld" in de text.
als degene die het gevonden is een werknemer is van het bedrijf dat werd overgenomen door google zal die er ook mogen achter fluiten :-)
Het gaat dan ook niet alleen om lekken, maar ook om bugs. Kan me voorstellen dat een bug wordt gerapporteerd, maar dat het door google wordt gezien als interpretatiefout danwel 'feature'...
Daarnaast, als iemand een 404 scanner loslaat op willekeurig welke Google-service dan zal er vast wel wat uitkomen, maar lijkt me sterk dat ze dr de knip voor trekken.
Beste overheid...

Dat is het eerste wat mij te binnen schiet nadat ik het artikel gelezen had... Ik stem serieus op de politieke partij die met een voorstel komt naar dit model... Niemand die je beter kan vertellen hoe het met je beveiliging zit dan de inbreker zelf. Zoveel kostbare belastingcenten gaan op aan prutsers, halfbakken systemen, 310.000,- is toch spotgoedkoop?

[Reactie gewijzigd door MicGlou op 10 februari 2012 17:39]

Beste overheid...

Dat is het eerste wat mij te binnen schiet nadat ik het artikel gelezen had... Ik stem serieus op de politieke partij die met een voorstel komt naar dit model... Niemand die je beter kan vertellen hoe het met je beveiliging zit dan de inbreker zelf. Zoveel kostbare belastingcenten gaan op aan prutsers, halfbakken systemen, 310.000,- is toch spotgoedkoop?
Die 310.000,- is verdeeld over 730 lekken bij Google tegen een gemiddeld bedrag van 424. Als je 424 per lek uitgeeft over alle diensten van de Nederlandse overheid, is dat een ernstige aanslag op de schatkist (gekeken naar de grote hoeveelheid diversiteit in brakke websites). Als je het bedrag vastzet op 310.000 dan zal het nooit interessant zijn om lekken te vinden, aangezien het bedrag dan per lek erg laag zou zijn.

En dan nog: je kan het wel weten dat er lekken zijn, maar dan moeten ze evengoed opgelost worden. Bij Google zijn ze meer afhankelijk van het vertrouwen van de massa ten opzichte van de overheid, waardoor zij meer middelen inzetten om daadwerkelijk (zonder om te komen in bureaucratie en aan/uitbestedingen) de problemen op te lossen.

Dat de overheid overigens minder afhankelijk is van het vertrouwen van de massa is overigens iets dat best wel gek is als je er over nadenkt. Google als bedrijf kan failliet gaan bij een X aantal blunders. Dit is anders bij de overheid, waar de grens van het aantal blunders een stuk hoger ligt voordat actie wordt ondernomen.

[Reactie gewijzigd door The Zep Man op 10 februari 2012 19:05]

Kwestie van in je contracten met je leveranciers (je denkt toch niet dat die sites in het algemeen gebouwd worden door de overheid) dat de Algemene Nederlandse Lekvergoedingsregeling (scrabblewoord!) van toepassing is, en dat de kosten daarvan worden doorberekend aan de aannemer.
Het grote manco van "de overheid" is dat het ontelbaar veel kleine subsytemen gebruikt (om maar niet te spreken van de verschillende systemen die gemeentes gebruiken), van net zoveel verschillende leveranciers. Het aantal lekken zal denk ik een factor 10.000 hoger liggen ;)
ik vraag me af waarom jij niet bij de overheid gaat solliciteren daar hebben ze jou hard nodig om all die brakke producten even bij te werken.
Waarom denken andere ICT er toch altijd dat andere het altijd veel slechter doen dan zij zelf. Eu.. ik bedoel minder goed dan zij zelf.
Over het algemeen zijn die mega projecten uitgegeven aan grote bedrijven met veelal zeer bekwamen mensen.
Allen die systemen bedienen geen handje vol mensen in een bedrijfje, maar een 16 miljoen personen. Dat is net even iets anders dan jou kant en klare thuis servertje met een aantal foto's van de vakantie die uitstekend dienst doet.

ik vind 424 euro echt een habbekrats sommige zijn soms weken bezig om iets te vinden. die beloning had best wat hoger gekund.

[Reactie gewijzigd door trisje op 11 februari 2012 00:02]

ik vind 424 euro echt een habbekrats sommige zijn soms weken bezig om iets te vinden. die beloning had best wat hoger gekund.
Het is een gemiddelde. Degene die na weken speuren en hacken een belangrijk lek vond kreeg misschien wel 1000. En als je het te weinig vindt stop je gewoon met zoeken de volgende keer.
Maakt het inderdaad erg interessant voor white hat hackers om deel aan te nemen.
Echter wordt de kans om een lek te vinden uiteraard steeds kleiner. Dus als je er je brood mee wilt verdienen, kan het nog best eens tegen gaan vallen.
Als je als hacker (echte hacker he) nou echt een serieuze bug zou vinden...
Zou jij hem dan melden ??? Het is een beetje het idee van als jij als bankrover gevraagd zou worden kraak deze kluis wat voor onmogelijk (puur voorbeeld) wordt geacht en jij weet de oplossing, zou jij het zeggen ? Of wacht je je kans af en leeg deze kluis vervoglens een maand later en ga er vandoor met een veelvoud als de beloning...

Het is goed dat ze het doen hoor, want veel fouten worden er uit gehaald, maar toch knaagt het gevoel van "als nou die ene..." En als je nu gepakt zou zijn dan was het onder het mom van ze vroegen toch of het kon ;)
Maar goed op het moment dat er 100 bankrovers worden uitgenodigd om naar de beveiliging van een kluis te kijken. Dan gaan de bankrovers zich ook afvragen of het misschien niet beter is om maar eerlijk te zijn en daar op te cashen in plaats van een andere bankrover met het geld aan de haal te laten gaan.
Ik zal heel eerlijk zijn, ik ga er liever legaal van door met de beloning dan dat ik de kluis leeg roof, en er hoogstends een maand later niets meer van over is omdat het in het criminele circuit is opgeraakt of ik een paar maanden mag zitten ;)
310.000 is natuurlijk veel geld, maar waarschijnlijk is het veel minder dan de kosten die Google zou hebben als er een lek wordt misbruikt dat niet gemeld is. Aangezien er nu erg veel mensen zoeken naar bugs, en alleen betaald krijgen als ze iets vinden lijkt me dit een ontzettend slimme aanpak voor het vinden van kwetsbaarheden!
Precies. Dit is bijzonder goedkoop voor Google. Voor 3 ton heb je misschien 2 goede testengineers rondlopen. Die hadden samen vast geen 1100 beveiligingsproblemen gevonden in een jaar...
Een mooie win-win situatie dus ;)
200 man x 50k per jaar salaris = 10 miljoen.

Overige kosten nog niet meegerekend.
Dus google heeft een goede deal lijkt me.
50k per jaar ? Ha ik denk dat er stuk of 190 mensen uit india of China op zitten.
Dus denk max. 5k per jaar.
Dan moet je miljarden kunnen verdienen bij KPN!
Wat zou je dan kunnen verdienen bij de overheid? :)
Noem eens wat voorbeelden van beveiligingslekken bij de overheid?

On topic: dit is ook manier van ontwikkelen en kwaliteitsverbetering. Zou in bepaalde gevallen best navolging mogen vinden!
digid? en da's echt niet zo lang geleden hoor....
Je doelt op DigiNotar? De overheid, in de hoedanigheid van DigiD, nam certificaten af van DigiNotar. Een externe partij dus.

Partij die net zo werkte als KPN blijkbaar:
Ondertussen blijkt uit een onderzoeksrapport van de overheid, dat door de NOS is ingezien, dat het bedrijf Diginotar zelf 'volstrekt onveilig' werkt. Zo stonden er op de computers van het bedrijf geen anti-virusprogramma's en draaide een belangrijke server zonder de juiste updates. Verder gebruikten de medewerkers wachtwoorden die eenvoudig te achterhalen waren.

Bron:
http://www.volkskrant.nl/...-volstrekt-onveilig.dhtml

Overigens zijn de gebruikers van Diginotar niet te benijden. Welke partij heeft de taken overgenomen? Juist, Getronics oftewel KPN....

Bron:
http://webwereld.nl/nieuw...ie-strandt-door-kpn-.html

Nog even on topic ;)

Bedrijven zouden qua beveilingsissues op ICT-gebied wat minder huiverig moeten zijn wat betreft hulp van hackers. In de ogen van vele niet-IT'ers is een hacker per definitie altijd fout.

Edit: typo's

[Reactie gewijzigd door Covinet op 10 februari 2012 20:04]

Er worden niet voor niets ex-gedetineerden ingehuurd door alarm en beveiligingsbedrijven ;)
Nee, soms hebben ze een Excel certificaat :+
ex-gedetineerden bij beveiligingsbedrijven?

bron?

met een strafblad krijg je nieteens de benodigde beveiligingspas, laat staan een baan bij een beveiligingsbedrijf.
Een baan bij dat bedrijf is wat anders dan ingehuurd worden om beveiligingszwakheden aan te wijzen, waarbij een pas krijgen inderdaad ook nog eens spelbederf of boerenbedrog is. Je kan dus wel om een bron vragen, maar dat heeft natuurlijk geen zin als je er zelf een andere draai aan geeft :D.

Ik heb het dan ook niet aangekaart, maar was wel benieuwd of daar iets over te vinden is.
Via google (inbrekers testen beveiliging) vond ik in ieder geval dit: http://tvblik.nl/de-inbreker
Enige direct relevante voorbeeld dat ik kon vinden en een mager bronnetje misschien, maar het is er 1 :D. Aan Bartjezz dan maar om dat aan te vullen.
Ik kan er een noemen, maar dan zit ik morgen op het p-buro... :+
Of sta je op het podium 310K te innen..
Het is net het moment waarop je het lek verteld ;)
Ehm weinig, want je "arbeidscontract" word gehackt? :P
(niet echt relevant maar in melige bui)

[ontopic]
Toch vind ik het wel een goed idee van google, mensen echt laten zoeken naar bugs. Mensen buiten je bedrijf/omgeving denken toch weer anders na en zien gaten waar je zelf misschien niet eens aan dacht.

Maarja als iedereen mag hacken, hoe doen ze het dan met herkennen van connecties die echt aan het hacken zijn? Ik kan me zo voorstellen dat er individuen/organisaties zijn die nog meer kunnen verdienen door het NIET aan google te vertellen?
Of hoor je je van tevoren aan te melden?
Dat "idee" kwam dus niet van Google. Ik zeg het almaar voordat we oer enkele maanden zitten met "Pff, dat hebben ze van Google overgenomen!"-reacties.
Het is iets dat eigenlijk al zo oud als het hacken zelf is. Er zijn tal van hackers in dienst genomen na een succesvolle hack. Hackers worden vaker uitgedaagd. Maar ja, dit is Google en ze betalen er nu voor, dus is het nieuws... ;)
Voor zover ik of het kan herinneren is mozilla er mee begonnen in 2004
http://mozilla.org/en-US/press/mozilla-2004-08-02.html
En als je even nadenkt is het een relatief goedkope manier om niet alleen problemen op te lossen, je kunt ook de skills van je eigen programmeurs controleren en kijken of er nog iets aan je eigen controlemethodieken kan worden verbeterd. Binnen een organisatie kan er soms tunnelvisie optreden om een product te snel uit te brengen terwijl dat helemaal niet verantwoord is.

Maar zoals eerder aangegeven, google is hier niet uniek in, bovenstaande doet het al hartstikke lang, facebook doet het ook, microsoft idd, hp profiteert er ook van.
die geven nix voor/om bugs, dus waarom zou je ze gaan melden :+ gewoon lekker misbruiken :(
Kijk, dit bericht is wel perfect getimed. Precies wat de hackers "gratis" bij Kpn hebben gedaan, wordt betaald bij Google. Ik denk dat veel bedrijven/overheden hier een voorbeeld aan kunnen nemen. Waarom zou je de kennis van hackers niet gebruiken voor goede dingen. Ik moet meteen denken aan de film "catch me if you can" ook een crimineel die voor de overheid gaat werken.
Uiteindelijk zullen de meeste hackers het niet doen om kwaad te willen, maar enkel om te kijken of het kan en daar een kick uit krijgen.
waarom staat zo domme opmerking eigenlijk in het groen. on topic
Ik vind de beloning best wel mager 400 euro voor soms weken speuren naar een lek.
Goede zet van Google, 'vriendjes' worden met de hackers. Dat zouden meer bedrijven moeten doen ipv gelijk over gaan tot aangifte*.

*er vanuit gaande dat het hackpogingen zijn zonder winstbejag.
Gelukkig ook weer eens een bericht waarin hackers op een positieve manier in het nieuws komen. De laatste tijd hoor je bijna alleen maar van hacks waarbij persoonsgegevens of andere gevoelige bedrijfsinformatie ontvreemd worden.

Dit bericht laat duidelijke zien waar hacken echt voor bedoeld is. Er kan geen discussie over zijn dat deze hackers de verbetering van de software op het oog hebben. Helaas is dat niet bij alle nieuwsberichten zo duidelijk...

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True