Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties

Google gaat vanaf dit jaar beveiligingsonderzoekers inhuren om bugs te zoeken. Er komen verschillende onderzoeksbeurzen beschikbaar waarvoor geïnteresseerden zich kunnen opgeven. Vorig jaar betaalde Google meer dan anderhalf miljoen dollar uit aan bugzoekers.

Op zijn blog legt Google uit wat zijn plannen zijn voor beveiligingsonderzoekers die bijdragen aan het opsporen van bugs in software. Omdat het door intern beveiligingsonderzoek steeds moeilijker wordt om fouten in software te vinden wil Google onderzoekers vooraf gaan betalen. Op die manier moeten zij gemotiveerd blijven om naar bugs te speuren: normaal gesproken wordt er alleen uitbetaald als er een lek wordt gevonden.

Google stelt een bedrag van 3.113,70 dollar per onderzoeker beschikbaar. Dat is omgerekend ongeveer 2750 euro. Er komen beurzen beschikbaar voor verschillende security-onderwerpen. Onderzoekers kunnen zich inschrijven voor het onderwerp waar zij interesse in hebben. Wie betaald krijgt van Google voor speurwerk krijgt nog steeds een bedrag uitgekeerd als er ook daadwerkelijk een bug wordt gevonden.

Vorig jaar betaalde Google ongeveer anderhalf miljoen dollar uit aan onderzoekers die bugs hebben gevonden. Omgerekend is dat ongeveer 1,33 miljoen euro. Ongeveer 200 onderzoekers werden beloond voor het vinden van zo'n 500 bugs. Het grootste bedrag dat voor het vinden van een bug werd betaald is 133.000 euro. De vinder kreeg tevens een stage aangeboden.

Moderatie-faq Wijzig weergave

Reacties (36)

Dus ipv onderzoekers betalen voor het vinden van bugs, gaat ze betalen voor het zoeken naar bugs(Dan zal dat eerst ook wel meegerekend worden).

Maar nog steeds verdienen hackers meer aan het verkopen van security issues dan ze te geven aan google.
Je moet maar ook net de kanalen weten om deze op de zwarte markt te kunnen verkopen plus er bestaat ok nog zoiets als ethiek.
En als ethiek geen issue is kan je de bug wellicht ook twee keer verkopen ;)
Nee google geeft de rest 90 dagen de tijd om daarna alles publiek te maken.

Je kan dus ook lezen google gaat actief op zoek naar bugs, betaald daar zelfs voor om ze na 90 dagen openbaar te maken.
Klopt, maar ik reageerde op het zwarte markt stuk van ro8in, en dan daarna alsnog verkopen aan Google
Wat Google daar van vindt is één ding, hoe blij je vriendjes op de zwarte markt er mee zijn dat je ze belazerd... Misschien handiger om dat niet uit te proberen.
Of je verkoopt ze éerst op de zwarte markt, en 2 weken later aan Google...
Ethisch misschien niet helemaal okay, maar financieel mogelijk wel dubbel lekker.
Ik schat zo in dat je beter kan voorkomen dat je ruzie maakt met onderwereld figuren.
beetje stating the obvious wat je doet.

Natuurlijk zal een blackhat meer verdienen (of kunnen verdienen) door iets te abusen / te verkopen in het illegale circuit.

De maximale opbrengst van een bug is in theorie wat de maximale schade is (iets eronder). Daar ga je niet tegenop kunnen bieden als google zijnde.
Als consument is het fijn, dat een bug gevonden wordt,
Maar nog fijner als ze ook worden opgelost.
In plaats van dat ze zeggen 'het is te veel werk'.
nieuws: Google: dichten van lekken in browser oude Android-versies is niet haalbaar

Zeker als je weet dat je partners bewust niet iedereen updates geven, zou ik mij richten op het veilig houden van de 60% van je klanten die gebruik maken van je open-source webbrouwser. Zodat iedereen ook mensen die een open source webviewer gebruik veilig gebruik kunnen blijven maken van je platform.
Dit dus, Google lijkt hun best te doen van "Wij zijn een veiligheidsbewust bedrijf" en dan op zulke belangrijke punten zulke steken laten vallen. 1,5 jaar oude OS releases niet ondersteunen. (Niet dat die Android versies er minder gatenkaas van worden)Chrome die al een aantal jaar constant veel hoger scoort dan IE op exploit ranglijsten. (wordt ook nog eens vergeleken met IE11 32bit zonder protected mode, lekker eerlijk ook)

Google heeft de laatste jaren echt een slechte track record qua security, hopelijk veranderd dat nu eindelijk (android 5 lijkt goed op weg te zijn), ze zouden zichzelf best wel wat minder arrogant neer mogen zetten en wat meer naar de realiteit mogen kijken.
ze zouden zichzelf best wel wat minder arrogant neer mogen zetten en wat meer naar de realiteit mogen kijken.
Ach, ze proberen nu ook dan een goede beurt te maken met 90 dagen na ontdekking moet iemand de bug gepatched hebben. Nu hebben ze dus al een bug in Windows in de spotlight gezet en een bug in de Flash player die best ernstig is qua misbruik. Wat dat betreft heeft Google ook een kilo boter op zijn hoofd. Niet elke bug is in 90 dagen te fixen. Sommigen vereisen meer werk en testen. Nu met dit schijnheilige beleid maken ze dus lekken openbaar en wie is het slachtoffer? De mensen thuis die zich niet kunnen wapenen tegen de lekken. En Google staat erbij en kijkt ernaar met iets van "Wij hebben onze plicht gedaan".
De exploit van Windows was zelfs niet echt bruikbaar in de echte wereld, CMD uitschakelen of UAC tandje hoger zetten was genoeg. Toch deed Google wel de indruk geven alsof iedereen nu op elke windows PC in de hele wereld met een druk op de knop administrator rechten had.

Ik vind het echt jammer te zien dat Google zo af lijkt te zakken, de koers die ze een aantal jaar geleden ingeslagen zijn, zal hun ondergang zijn als ze zo doorgaan.
Had ooit veel respect voor Google, het opengooien en verder brengen van het toentertijd gestagneerde internet, maar ook hun werkwijzes waren respectvol.
Microsoft moest ook hard op hun bek gaan voordat ze zichzelf weer gevonden hadden (die gingen in de jaren 90 ook hard de verkeerde kant op), ik hoop dat Google ook kan recoveren van zo op hun plaat gaan en zichzelf weer vinden. Want op hun bek gaan ze toch.
en dat uac tandje hoger zetten doet iedereen.
nou ik ken niemand die dat tandje hoger zet!!
misschien in het bedrijf leven maar zelfs daar verwacht ik niet iedereen.
Je bedoelt de exploits die gevonden woorden omdat google mensen betaald?
Of heb je liever dat die gaten alleen gevonden woorden Door criminelen?
Criminelen mogen van mij die windows exploits vinden, succes met toepassen in een netwerk waar ik(of iedere beetje competente systeembeheerder) beheer over heb.
En thuis gebruikers zitten by default met administrator accounts ingelogd en drukken bij elke UAC waarschuwing toch wel "ja".
Zulke serieuze exploits vind Google niet. Stop het Microsoft Security team een paar maandjes op Android en dan ga je pas leuke serieuze exploits tegen komen gok ik.
Vanuit mijn werk ben ik nieuwsgierig naar hoe een goede systeembeheerder werkt. Configureer je alles goed, en werk je dit regelmatig bij, of heb je ook tijd om actief te speuren naar verdachte patronen? Ik kan me voorstellen dat als je het druk hebt, dit het eerste is wat uitgesteld wordt. En ga je er vanuit dat een tool die verdachte patronen wel weet te vinden en een waarschuwing geeft, of analyseer je actief de resultaten?
Alles voorkomen gaat niet, maar de exploits van Google zijn tegen te houden door standaard beveiligen.

En het overgrote deel van de exploits of zelfs zero days is op Windows met klein gemak tegen te houden.
Je mag er zelf naar zoeken als dat ervoor zorgt dat ze dan ook oplost worden en de criminelen ze ook niet meer kunnen gebruiken.
Als je al niet van plan bent ze op te lossen is het beter er ook niet naar te zoeken want dan geef je de criminelen gewoon een goede voorzet.
Je weet wel dat ze zulke gaten kunnen dichten vanaf Android 4.4?
of wil je die statement elke keer Blijven roepen omdat je niks beters weet te zeggen.
Je weet wel dat ze zulke gaten kunnen dichten vanaf Android 4.4?
Want hoeveel toestellen zijn er niet in de wereld die nog een Android versie lager dan 4.4 draaien? Ik denk nog aardig veel.

Tussen kunnen en doen zit nog een wereld van verschil. Alhoewel Google doorgaat met het ontwikkelen van het OS, blijft het updaten van bestaande toestellen achter. Dit ligt ook aan de fabrikanten. Die gieten over Android hun eigen sausje heen en elke update moet ook daarom door de fabrikant bewerkt worden om te werken op hun toestellen met hun sausje. Fabrikanten houden hun topmodellen kortstondig bij, maar verliezen al snel interesse. Het is misschien dan toch mooier als het patchen van het OS in beheer blijft van de ontwikkelaar ervan, zoals Apple en Microsoft doen met hun respectievelijke mobiele OS'sen.
Maar aan de andere kant, je wist dat toe je een android telefoon kocht. Kort gezegd: het was een keuze.

En daarbij is Android (lv. 18) 4.3 uit Juli 2013. Kan ik ze niet echt kwalik nemen.
omdat fabrikanten hun eigen sausje kunnen gieten kiezen ze android boven wp.
door die sausje kunnen ze zich onderscheiden.
Mij lijkt het me beter dat je je onderscheidt door een kwalitatief betere telefoon te leveren dan een schil die 90% van de tijd ook nog eens onnodig performance inpikt. Daarnaast draait zelfs een low-spec telefoon met Windows vloeiend, terwijl Android minstens in het medium segment moet zitten voor vergelijkbare performance.
telefoons zijn haast niet meer te onderscheiden omdat er veel concurrentie is, die bijna zo niet het zelfde toestel uitbreng,
dan moet je wel op een ander manier zij het eigen schil of bloatware (eigenapps zoals samsung).
voor bloatware kijk maar naar windows laptops lenovo is een mooie voorbeeld.
telefoons zijn haast niet meer te onderscheiden omdat er veel concurrentie is, die bijna zo niet het zelfde toestel uitbreng,
Ja, dus? Het gebrek aan inspiratie voor een eigen ontwerp moet dan maar gecompenseerd worden met een vaak nutteloze grafische schil? Sorry, hoor maar als je geen nieuw ontwerp meer kunt verzinnen, is het misschien tijd om je op een andere markt te gaan richten in plaats van wanhopig jezelf vast te klampen aan vergane glorie.
Webview op Android heeft helemaal niks met de browser te maken.
Google steekt dus de hand in eigen boezem. Dat vind ik best sportief. Ik bedoel; aan de ene kant treiteren ze Microsoft wel met het publiceren van bugs en beveiligingsproblemen in Windows, maar ze zijn dus ook niet te beroerd om hun eigen producten kritisch tegen het licht te houden.

Misschien ook wel om te voorkomen dat Google's concurrenten hetzelfde truukje bij hun flikken, maar zolang de gebruiker er maar beter van wordt vind ik het prima. Alle beetjes helpen.
Tja. Wat je sportief noemt. Google bestaat voornamelijk alleen maar uit web diensten. De verantwoordelijkheid van Android hebben ze al van zich afgeschud. Dus een lek in Windows en 90 dagen geven om het op te lossen is heel wat anders dan een Apache lek of ssl lek dichten. Dus het blijft flauw en onsportief.
Het zou ook fijn zijn als google WebRTC standaard uit zet.
Google stelt een bedrag van 3.113,70 dollar per onderzoeker beschikbaar. Dat is omgerekend ongeveer 2750 euro.
Dus 1 onderzoeker en 1 lek/bug?
En als ze dan gevonden worden doet Google er niets mee, want te lastig en code van een jaar oud. Zolang er nu al telefoons in de winkel liggen die niet meer voorzien worden van fixes voor kritieke bugs haalt dit allemaal niets uit..
Lijkt me niet. Dat zou betekenen dat ze die beveiligingsonderzoekers voor Jan Joker betalen.
klinkt best wel fraudegevoelig, kan toch gewoon zeggen dat ik niks verkeerds heb gevonden zonder er echt goed naar gekeken te hebben.
Google is natuurlijk ook niet gek. Je zult een fatsoenlijk onderzoeksplan moeten neerleggen, wat ga je onderzoeken, welk soort bugs, hoe ga je dat zoeken/bewijzen.
Ik vermoed zelfs inclusief testplannen en/of code-analyse methode, en resultaten van die aanpak.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True