Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 66, views: 39.027 •

In het kader van Googles beloningsprogramma om beveiligingslekken te vinden, zijn er 1100 bugs en kwetsbaarheden bij de software en diensten van het bedrijf gevonden. Google heeft daarvoor meer dan 310.000 euro uitgeloofd aan de hackers.

googleOngeveer 200 hackers zijn al iets meer dan een jaar bezig met het vinden van beveiligingslekken en bugs op de websites en diensten van Google. In totaal zijn er al 1100 beveiligingsproblemen gevonden op Google.com, Youtube, Orkut, Blogger en andere diensten, meldt Google. Ongeveer de helft van die lekken werd gevonden in software van bedrijven die Google heeft overgenomen. 730 van de 1100 lekken kwamen in aanmerking voor een beloning, die dus gemiddeld 424 euro bedraagt.

Google startte het programma naar aanleiding van het grote succes van hun Chromium-beloningsprogramma, en hun ervaring met dergelijke projecten. De ontwikkelaars concluderen dat: "Veel meer mensen naar beveiligingslekken zoeken door bug bounty-programma's."

Reacties (66)

Dan moet je miljarden kunnen verdienen bij KPN!
Wat zou je dan kunnen verdienen bij de overheid? :)
Noem eens wat voorbeelden van beveiligingslekken bij de overheid?

On topic: dit is ook manier van ontwikkelen en kwaliteitsverbetering. Zou in bepaalde gevallen best navolging mogen vinden!
Er worden niet voor niets ex-gedetineerden ingehuurd door alarm en beveiligingsbedrijven ;)
Nee, soms hebben ze een Excel certificaat :+
ex-gedetineerden bij beveiligingsbedrijven?

bron?

met een strafblad krijg je nieteens de benodigde beveiligingspas, laat staan een baan bij een beveiligingsbedrijf.
Een baan bij dat bedrijf is wat anders dan ingehuurd worden om beveiligingszwakheden aan te wijzen, waarbij een pas krijgen inderdaad ook nog eens spelbederf of boerenbedrog is. Je kan dus wel om een bron vragen, maar dat heeft natuurlijk geen zin als je er zelf een andere draai aan geeft :D.

Ik heb het dan ook niet aangekaart, maar was wel benieuwd of daar iets over te vinden is.
Via google (inbrekers testen beveiliging) vond ik in ieder geval dit: http://tvblik.nl/de-inbreker
Enige direct relevante voorbeeld dat ik kon vinden en een mager bronnetje misschien, maar het is er 1 :D. Aan Bartjezz dan maar om dat aan te vullen.
digid? en da's echt niet zo lang geleden hoor....
Je doelt op DigiNotar? De overheid, in de hoedanigheid van DigiD, nam certificaten af van DigiNotar. Een externe partij dus.

Partij die net zo werkte als KPN blijkbaar:
Ondertussen blijkt uit een onderzoeksrapport van de overheid, dat door de NOS is ingezien, dat het bedrijf Diginotar zelf 'volstrekt onveilig' werkt. Zo stonden er op de computers van het bedrijf geen anti-virusprogramma's en draaide een belangrijke server zonder de juiste updates. Verder gebruikten de medewerkers wachtwoorden die eenvoudig te achterhalen waren.

Bron:
http://www.volkskrant.nl/...-volstrekt-onveilig.dhtml

Overigens zijn de gebruikers van Diginotar niet te benijden. Welke partij heeft de taken overgenomen? Juist, Getronics oftewel KPN....

Bron:
http://webwereld.nl/nieuw...ie-strandt-door-kpn-.html

Nog even on topic ;)

Bedrijven zouden qua beveilingsissues op ICT-gebied wat minder huiverig moeten zijn wat betreft hulp van hackers. In de ogen van vele niet-IT'ers is een hacker per definitie altijd fout.

Edit: typo's

[Reactie gewijzigd door Covinet op 10 februari 2012 20:04]

Ik kan er een noemen, maar dan zit ik morgen op het p-buro... :+
Of sta je op het podium 310K te innen..
Het is net het moment waarop je het lek verteld ;)
Ehm weinig, want je "arbeidscontract" word gehackt? :P
(niet echt relevant maar in melige bui)

[ontopic]
Toch vind ik het wel een goed idee van google, mensen echt laten zoeken naar bugs. Mensen buiten je bedrijf/omgeving denken toch weer anders na en zien gaten waar je zelf misschien niet eens aan dacht.

Maarja als iedereen mag hacken, hoe doen ze het dan met herkennen van connecties die echt aan het hacken zijn? Ik kan me zo voorstellen dat er individuen/organisaties zijn die nog meer kunnen verdienen door het NIET aan google te vertellen?
Of hoor je je van tevoren aan te melden?
Dat "idee" kwam dus niet van Google. Ik zeg het almaar voordat we oer enkele maanden zitten met "Pff, dat hebben ze van Google overgenomen!"-reacties.
Het is iets dat eigenlijk al zo oud als het hacken zelf is. Er zijn tal van hackers in dienst genomen na een succesvolle hack. Hackers worden vaker uitgedaagd. Maar ja, dit is Google en ze betalen er nu voor, dus is het nieuws... ;)
Voor zover ik of het kan herinneren is mozilla er mee begonnen in 2004
http://mozilla.org/en-US/press/mozilla-2004-08-02.html
En als je even nadenkt is het een relatief goedkope manier om niet alleen problemen op te lossen, je kunt ook de skills van je eigen programmeurs controleren en kijken of er nog iets aan je eigen controlemethodieken kan worden verbeterd. Binnen een organisatie kan er soms tunnelvisie optreden om een product te snel uit te brengen terwijl dat helemaal niet verantwoord is.

Maar zoals eerder aangegeven, google is hier niet uniek in, bovenstaande doet het al hartstikke lang, facebook doet het ook, microsoft idd, hp profiteert er ook van.
die geven nix voor/om bugs, dus waarom zou je ze gaan melden :+ gewoon lekker misbruiken :(
Kijk, dit bericht is wel perfect getimed. Precies wat de hackers "gratis" bij Kpn hebben gedaan, wordt betaald bij Google. Ik denk dat veel bedrijven/overheden hier een voorbeeld aan kunnen nemen. Waarom zou je de kennis van hackers niet gebruiken voor goede dingen. Ik moet meteen denken aan de film "catch me if you can" ook een crimineel die voor de overheid gaat werken.
Uiteindelijk zullen de meeste hackers het niet doen om kwaad te willen, maar enkel om te kijken of het kan en daar een kick uit krijgen.
waarom staat zo domme opmerking eigenlijk in het groen. on topic
Ik vind de beloning best wel mager 400 euro voor soms weken speuren naar een lek.
Zo te zien niet gelezen??
730 van de 1100 lekken kwamen in aanmerking voor een beloning, die dus gemiddeld 424 euro bedraagt.
Nog steeds niet de moeite waard om een bug te zoeken
dat zou ik toch anders typeren...

computer 300$
internet connectie $240 (p/y).
opgedane kennis en cv (priceless)

sommige dingen zijn onbetaalbaar, voor de rest google checkout...
ik denk dat je naar 4 weken elke dag speuren en nog niets gevonden wel anders praat. Leren doe je er wel van omdat je constant niet anders doet..
Maakt het inderdaad erg interessant voor white hat hackers om deel aan te nemen.
Echter wordt de kans om een lek te vinden uiteraard steeds kleiner. Dus als je er je brood mee wilt verdienen, kan het nog best eens tegen gaan vallen.
Als je als hacker (echte hacker he) nou echt een serieuze bug zou vinden...
Zou jij hem dan melden ??? Het is een beetje het idee van als jij als bankrover gevraagd zou worden kraak deze kluis wat voor onmogelijk (puur voorbeeld) wordt geacht en jij weet de oplossing, zou jij het zeggen ? Of wacht je je kans af en leeg deze kluis vervoglens een maand later en ga er vandoor met een veelvoud als de beloning...

Het is goed dat ze het doen hoor, want veel fouten worden er uit gehaald, maar toch knaagt het gevoel van "als nou die ene..." En als je nu gepakt zou zijn dan was het onder het mom van ze vroegen toch of het kon ;)
Maar goed op het moment dat er 100 bankrovers worden uitgenodigd om naar de beveiliging van een kluis te kijken. Dan gaan de bankrovers zich ook afvragen of het misschien niet beter is om maar eerlijk te zijn en daar op te cashen in plaats van een andere bankrover met het geld aan de haal te laten gaan.
Ik zal heel eerlijk zijn, ik ga er liever legaal van door met de beloning dan dat ik de kluis leeg roof, en er hoogstends een maand later niets meer van over is omdat het in het criminele circuit is opgeraakt of ik een paar maanden mag zitten ;)
310.000 is natuurlijk veel geld, maar waarschijnlijk is het veel minder dan de kosten die Google zou hebben als er een lek wordt misbruikt dat niet gemeld is. Aangezien er nu erg veel mensen zoeken naar bugs, en alleen betaald krijgen als ze iets vinden lijkt me dit een ontzettend slimme aanpak voor het vinden van kwetsbaarheden!
Een mooie win-win situatie dus ;)
Precies. Dit is bijzonder goedkoop voor Google. Voor 3 ton heb je misschien 2 goede testengineers rondlopen. Die hadden samen vast geen 1100 beveiligingsproblemen gevonden in een jaar...
730 van de 1100 lekken kwamen in aanmerking voor een beloning, die dus gemiddeld 424 euro bedraagt.

Ieder lek zou toch in aanmerking moeten komen voor een beloning of zie ik dit nu verkeerd??
Niet ieder lek is even ernstig...
Dat is juist, maar dan geeft je toch gewoon een kleiner bedrag voor kleine lekken?
daarom staat er waarschijnlijk "gemiddeld" in de text.
als degene die het gevonden is een werknemer is van het bedrijf dat werd overgenomen door google zal die er ook mogen achter fluiten :-)
Het gaat dan ook niet alleen om lekken, maar ook om bugs. Kan me voorstellen dat een bug wordt gerapporteerd, maar dat het door google wordt gezien als interpretatiefout danwel 'feature'...
Daarnaast, als iemand een 404 scanner loslaat op willekeurig welke Google-service dan zal er vast wel wat uitkomen, maar lijkt me sterk dat ze dr de knip voor trekken.
Echt een super actie is dit zeg, zo ben je echt slim bezig

Waarschijnlijk is dit veel goedkoper dan zelf mensen inhuren die gaan lopen zoeken. Het heeft ook wel nadelen (aanmoedigen van zoeken), maar echt een slimme zet van google!
Dat is dan ook gelijk het hele idee: dat iedereen massaal gaat zoeken en dat vooraal aangeeft zodat het opgelost wordt. Beter iemand die er geen misbruik van maakt dan dat er straks iets op straat ligt.
Echt een super actie is dit zeg, zo ben je echt slim bezig

Waarschijnlijk is dit veel goedkoper dan zelf mensen inhuren die gaan lopen zoeken. Het heeft ook wel nadelen (aanmoedigen van zoeken), maar echt een slimme zet van google!
Voor 310.000 euro/jaar kan je precies 1.5 software engineer in huren die waarschijnlijk meer bugs kunnen zoeken dan het bovental.

Dit heeft ook niets te maken met het wel of niet inhuren van mensen of de kosten daarvan, maar er proberen voor te zorgen dat mensen de hack bij google melden ipv deze te melden bij andere hackers, of exploit makers, of spammers.

Slim? ja, maar dus niet om kosten te besparen, maar meer om kosten te voorkomen.
Die 1,5 engineer gaan echt niet al dus bugs vinden. De reden dat er zoveel gevonden worden is dat er veel verschillende ogen naar kijken. Er gaan voor die 310.000 euro veel meer mensen dan die 1,5 engineer aan het werk en je betaalt alleen diegenen die wat gevonden hebben, ideale situatie als bedrijf.
Beste overheid...

Dat is het eerste wat mij te binnen schiet nadat ik het artikel gelezen had... Ik stem serieus op de politieke partij die met een voorstel komt naar dit model... Niemand die je beter kan vertellen hoe het met je beveiliging zit dan de inbreker zelf. Zoveel kostbare belastingcenten gaan op aan prutsers, halfbakken systemen, 310.000,- is toch spotgoedkoop?

[Reactie gewijzigd door MicGlou op 10 februari 2012 17:39]

Beste overheid...

Dat is het eerste wat mij te binnen schiet nadat ik het artikel gelezen had... Ik stem serieus op de politieke partij die met een voorstel komt naar dit model... Niemand die je beter kan vertellen hoe het met je beveiliging zit dan de inbreker zelf. Zoveel kostbare belastingcenten gaan op aan prutsers, halfbakken systemen, 310.000,- is toch spotgoedkoop?
Die 310.000,- is verdeeld over 730 lekken bij Google tegen een gemiddeld bedrag van 424. Als je 424 per lek uitgeeft over alle diensten van de Nederlandse overheid, is dat een ernstige aanslag op de schatkist (gekeken naar de grote hoeveelheid diversiteit in brakke websites). Als je het bedrag vastzet op 310.000 dan zal het nooit interessant zijn om lekken te vinden, aangezien het bedrag dan per lek erg laag zou zijn.

En dan nog: je kan het wel weten dat er lekken zijn, maar dan moeten ze evengoed opgelost worden. Bij Google zijn ze meer afhankelijk van het vertrouwen van de massa ten opzichte van de overheid, waardoor zij meer middelen inzetten om daadwerkelijk (zonder om te komen in bureaucratie en aan/uitbestedingen) de problemen op te lossen.

Dat de overheid overigens minder afhankelijk is van het vertrouwen van de massa is overigens iets dat best wel gek is als je er over nadenkt. Google als bedrijf kan failliet gaan bij een X aantal blunders. Dit is anders bij de overheid, waar de grens van het aantal blunders een stuk hoger ligt voordat actie wordt ondernomen.

[Reactie gewijzigd door The Zep Man op 10 februari 2012 19:05]

Kwestie van in je contracten met je leveranciers (je denkt toch niet dat die sites in het algemeen gebouwd worden door de overheid) dat de Algemene Nederlandse Lekvergoedingsregeling (scrabblewoord!) van toepassing is, en dat de kosten daarvan worden doorberekend aan de aannemer.
Het grote manco van "de overheid" is dat het ontelbaar veel kleine subsytemen gebruikt (om maar niet te spreken van de verschillende systemen die gemeentes gebruiken), van net zoveel verschillende leveranciers. Het aantal lekken zal denk ik een factor 10.000 hoger liggen ;)
ik vraag me af waarom jij niet bij de overheid gaat solliciteren daar hebben ze jou hard nodig om all die brakke producten even bij te werken.
Waarom denken andere ICT er toch altijd dat andere het altijd veel slechter doen dan zij zelf. Eu.. ik bedoel minder goed dan zij zelf.
Over het algemeen zijn die mega projecten uitgegeven aan grote bedrijven met veelal zeer bekwamen mensen.
Allen die systemen bedienen geen handje vol mensen in een bedrijfje, maar een 16 miljoen personen. Dat is net even iets anders dan jou kant en klare thuis servertje met een aantal foto's van de vakantie die uitstekend dienst doet.

ik vind 424 euro echt een habbekrats sommige zijn soms weken bezig om iets te vinden. die beloning had best wat hoger gekund.

[Reactie gewijzigd door trisje op 11 februari 2012 00:02]

ik vind 424 euro echt een habbekrats sommige zijn soms weken bezig om iets te vinden. die beloning had best wat hoger gekund.
Het is een gemiddelde. Degene die na weken speuren en hacken een belangrijk lek vond kreeg misschien wel 1000. En als je het te weinig vindt stop je gewoon met zoeken de volgende keer.
Goede zet van Google, 'vriendjes' worden met de hackers. Dat zouden meer bedrijven moeten doen ipv gelijk over gaan tot aangifte*.

*er vanuit gaande dat het hackpogingen zijn zonder winstbejag.
Sinds wanneer is hacken van code een misdrijf? Elke goede programmeur doet dat toch !!! Ik denk dat er enkel in het Nederlands deze verkeerde negatieve connotatie bestaat.
En die hack die ze gevonden hebben in Google Checkout die de vinder nog even voor zichzelf houdt...

Op dit item kan niet meer gereageerd worden.



Populair: Gamescom 2014 Gamecontrollers Websites en communities Smartphones Beheer en beveiliging Sony Microsoft Games Consoles Besturingssystemen

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013