Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 96 reacties

In een blogpost beschrijft beveiligingsonderzoeker Brian Krebs dat een hacker onder de naam 'BuggiCorp' een Windows-kwetsbaarheid voor 90.000 dollar verkoopt op een forum voor internetcriminelen. De zero-day zou ook werken op de laatste versie van Windows 10.

Volgens Krebs gaat het bij de kwetsbaarheid om een zogenaamde local privilege escalation, die aanwezig is in win32k.sys. Daarmee is het voor een aanvaller mogelijk om bijvoorbeeld van een gebruikersaccount naar een beheerdersaccount met volledige bevoegdheden te wisselen. De kwetsbaarheid kan zo worden ingezet om kwaadaardige code uit te voeren op het systeem van een doelwit. Deze vorm is niet de meest ernstige exploit, deze nemen over het algemeen de vorm aan van remote code execution, waarbij op afstand kwaadaardige code uitgevoerd kan worden.

De kwetsbaarheid zou volgens de verkoper werken op alle versies van Windows tot aan de nieuwste versie van Windows 10. Om dit te illustreren is er een video beschikbaar, waarin te zien is hoe op een Windows 10-machine met het patchniveau van 10 mei een account met meer rechten wordt verkregen. Dit ondanks het feit dat EMET is ingeschakeld, waarmee kwetsbaarheden moeten worden ondervangen.

Jeff Jones, beveiligingsmedewerker bij Microsoft, liet aan Krebs weten dat het bedrijf op de hoogte is van de verkoop van de exploit, maar dat deze nog niet is geverifieerd. Op de vraag of er is overwogen de exploit zelf te kopen, antwoordde hij dat Microsoft een bug bounty-programma heeft, waarmee het onderzoekers beloont die kwetsbaarheden melden. De beloning hangt af van de ernst van de ontdekte bug, maar voor het omzeilen van EMET betaalt de onderneming sinds vorig jaar 50.000 tot 100.000 dollar, aldus Krebs.

Daarom is het opvallend dat de verkoper in kwestie ervoor heeft gekozen de bug voor omgerekend 86.500 euro via een internetforum te koop aan te bieden, in plaats van deze aan Microsoft te melden. Bovendien worden zero-days meestal niet op deze manier verkocht. Een onderzoeker van Trustwave gaat ervan uit dat de kwetsbaarheid echt is, omdat de verkoper moeite heeft gedaan om als een betrouwbare partij over te komen die een echt product aanbiedt. De video zou voor aanvullend bewijs zorgen.

Leden van het forum vroegen aan de verkoper of het bij de kwetsbaarheid gaat om de versie die Microsoft op 12 april heeft gepatcht. Deze kwetsbaarheid is bekend als cve-2106-0167 en is eveneens een local privilege escalation. De verkoper antwoordde echter dat dit niet het geval is en dat zijn product een andere kwetsbaarheid betreft.

Moderatie-faq Wijzig weergave

Reacties (96)

Veel onderzoekers krijgen het antwoord dat ze "niet aan de voorwaarden voldoen" om de vergoeding te krijgen. Of ze worden aangeklaagd ( http://www.dailydot.com/politics/justin-shafer-fbi-raid/ ).
Begrijp heel goed dat hij ze in de underground verkoopt. Je hebt op de legale manier er alleen maar last mee. Een rechter snapt toch niks van ict en veroordeeld je dan maar.

[Reactie gewijzigd door lampstoelkast op 31 mei 2016 16:10]

Wie zegt dat een zero day verkopen aan andere bedrijven dan Microsoft illegaal is? Sterker nog, de markt voor zero-day's is namelijk erg groot. Allerlei bedrijven die spionage software ect voor overheidsdiensten maken moeten ook ergens aan hun exploits komen. Of denk je dat deze allemaal inhouse gemaakt worden?

Of wat denk je van de hack-bevoegdheid van de Nederlandse Politie die het kabinet graag wil. Het is niet zo alsof er een politie backdoor in software zit. Er zullen dus exploits aangeschaft moeten worden.
Dus met de uitbreiding van spionage, surveillance, en politie taken digitaal zal je dus als overheid meewerken aan het moedwillig zwak houden van software, en daarmee dus de hele bevolking in gevaar brengen doordat deze bugs niet worden aangepakt bij de software bedrijven die het product verkopen. Het is voor hackers namelijk lucratiever om aan overheden ect in het spionage/surveillance wereldje te verkopen dan mee te doen aan bug bounty programma's.

leesvoer hierover:
http://www.penguinrandomh...kim-zetter/9780770436193/
Microsoft koopt per definitie geen 'standaard' software vulnerabilities van researchers.

Het enige waar Microsoft momenteel bounties voor beschikbaar stelt zijn nieuwe mitigation bypasses in Windows 10, MS Edge sandbox escapes, HyperV hypervisor vulnerabilities en dan nu tijdelijk ook vulnerabilities in MS Nano Server. Dit alles valt onder de
Mitigation Bypass and Bounty for Defense en het Nano Server technical preview Bug Bounty Program.

Wat Krebs stelt dat EMET bypasses 100k op kunnen leveren is simpelweg onjuist. Dit wordt zelfs in de voorwaarden van het Bypass Bounty programma gesteld:
Are Enhanced Mitigation Experience Toolkit (EMET) bypasses in scope?
No. Bypasses that work against the default configurations of our products are significantly more useful to attackers considering the size of the affected population. EMET has some known limitations, and is designed as a defense in depth measure to break some known exploitation techniques in common use by attackers.
Source

Sowieso is het vreemd dat zowel Krebs en Tweakers dat EMET 'bypass' filmpje laten zien. EMET is ontworpen om exploits voor client side applications (zoals Internet Explorer en Word) te stoppen en niet om kernel exploits te stoppen.

Al die artikelen over exploits zijn leuk en aardig, maar als de schrijver van een artikel te weinig over vulnerability research / exploit development weet is er vaak weinig toegevoegde waarde.

[Reactie gewijzigd door photofreak op 31 mei 2016 18:50]

Goh, het was niet de bedoeling dat ik het liet uitschijnen dat het volledig illegaal was. Ik wou vooral wijzen op het feit dat verschillende white hat researchers problemen hebben gekregen omdat ze beveiligingslekken aan het licht brachten.
Je haalt goede punten aan (en bedankt voor de link!).
Nochtans denk ik toch dat bij overheden (meer in de richting van de FBI), dit soort exploits op "donkere" IRC channels worden aangekocht en betaald via bitcoin. Bedrijven als "Hacking Team" gaan inderdaad niet alles in huis gevonden hebben, dus lijkt mij dat ze ook underground wat zaken hebben gekocht.
Het verkopen van deze zeroday kan leiden tot diefstal van gegevens. Daarmee ben je als verkoper medeplichtig voor deze misdaad/misdrijf.

En aangezien MS al 50.000 tot 100.000 dollar betaald voor dit soort gaten, is me de insteek van deze gast me totaal onduidelijk.
Voor veel minder weerstand verkrijgt hij in ieder geval zijn geld via een legaal kanaal.
Onzin. De bouwmarkt eigenaar is ook niet medeverantwoordelijk voor de moorden die met de bijlen zijn gepleegd die hij in zijn bouwmarkt verkocht heeft. Net zo min als de producent van genoemde bijlen. Zou een mooie wereld worden als dit het geval was.
Geen onzin.
Als je bewust verkoopt aan criminelen ga je de fout in.
Een bouwmarkt heeft hierin geen bewuste actie uitgezet.

Dat maakt het verschil.
En dus heeft de verkoper altijd het te goeder trouw argument.
Dat werkt in een bouwmarkt, niet op een markt waar per definitie veel mensen met kwade bedoelingen zitten.
als je de bouwmarkt eigenaar vervangt met een wapen handelaar kom je er dichter bij in de buurt...
Het verkopen van deze zeroday kan leiden tot diefstal van gegevens. Daarmee ben je als verkoper medeplichtig voor deze misdaad/misdrijf.
Hierboven zei iemand dat overheden, oa politie, deze Exploits kunnen kopen.
Snap je dat criminaliteit door overheden ůůk criminaliteit is/blijft?
Ik ga het steeds moeilijker vinden om goed en kwaad te onderscheiden.
Voor mij is dat al heel duidelijk, de grootste criminelen hebben de macht, of de mensen in hun macht die nodig zijn.
bij MS kun je het eenmalig verkopen...wellicht dat hij op deze manier kopers verzameld en ze gelijktijdig voorziet van de info
Kan best zijn dat het hier een ontevreden microsoft of ex-microsoft employee is die in de kleine lettertjes van de bounties uitgesloten worden - of iemand die liever anoniem blijft - of iemand die dat bedrijf geheel niet meer vertrouwt. Zijn wel redenen te bedenken...
Heerlijk boekje. Vanmorgen nog op het balkon gelezen, ben nu op een kwart en ben erg blij met de aanschaf!
T hackersteam anyone? Waar zelfs brave nl gemeentes waren kijken om "software" te kopen, imo gewone criminelen die aangepakt moeten worden en wie daar zaken mee doet net zo...
"Begrijp heel goed dat hij ze in de underground verkoopt."
Ik niet, geen begrip en geen bewondering.
Ik ook niet. Beetje het zelfde als dat je een manier vind om een auto te stelen, en het dan verkoopt aan criminelen.

Dan ben je zelf ook een crimineel.

Beetje anderen ellende bezorgen voor geld.

[Reactie gewijzigd door LOTG op 31 mei 2016 20:48]

inderdaad gewoon verkopen op de zwarte markt verdien je er tenminste wat geld aan.
Als je eerlijk bent doen er alles om je niet compenseren of voor de rechter te sleepen.
Tja, dat krijg je nu er berichten zijn geweest dat de CIA een kant-en-klare hack gekocht heeft om een IPhone te kraken. Waarom zou je dan niet een hack kopen om Windows te kraken. Dit is duidelijk een nieuwe markt die zich aan het ontwikkelen is.
Veel erger nog vind ik de ransomware / cryptolocker marktplaatsen. Dat is niet alleen een security breach maar ook gijzeling en afpersing.
Nieuwe markt? Dit is al JAREN aan de gang, zwarte markt voor zero-days wordt enorm in de gaten gehouden door hackers, Je zou maar je target's bankrekening kunnen legen (Of van een bedrijf). Dan hoef je een hele tijd niet meer te werken.
Deze markt bestaat al bijna langer dan dat we internet hebben.
Dit is helemaal geen nieuwe markt die zich aan het ontwikkelen is, dit is al jaren zo..
Ik heb zo men twijfels of dit nu echt is.

1. Microsoft bied je zat geld voor deze bug.
2. Microsoft ziet dit ook, gaat het patchen. Dan is je hack niet meer bruikbaar en verkoopt niet. Je maakt dus geen winst?
3. Hij of zei kan in problemen hierdoor komen. (is niet 123 natuurlijk gevonden deze persoon)
1. Microsoft bied je zat geld voor deze bug.
1. Microsoft betaald niet in alle gevallen uit. Bijvoorbeeld als de hacker in kwestie komt uit een land waar sancties op liggen (Rusland bijvoorbeeld), terwijl je voordat er uberhoud gepraat kan worden over geld je in specifieke details moet uitleggen wat de bug is, hoe hij werkt, enzovoort.
2. Microsoft ziet dit ook, gaat het patchen. Dan is je hack niet meer bruikbaar en verkoopt niet. Je maakt dus geen winst?
2. Ik neem aan dat de hacker weet dat microsoft en mensen van bijvoorbeeld Kaspersky of andere bedrijven zullen meekijken en dat hij daarom "voorzorgsmaatregelen" heeft genomen om zijn identiteit en de complete werking van de bug geheim te houden.
3. Hij of zei kan in problemen hierdoor komen. (is niet 123 natuurlijk gevonden deze persoon)
3. Waarom? Zover ik weet doet hij hier niks strafbaars, hij heeft zover ik kan zien niemand gehackt om dit werkend te krijgen. Als hij alleen zijn eigen windows versie hackt kan hij ermee doen wat hij wil. Zolang hij hem zelf gekocht heeft is het zijn eigendom waaraan hij zit te hacken.

[Reactie gewijzigd door dunpealhunter op 31 mei 2016 16:32]

Over 3) ben ik zo zeker nog niet, software of een deel van een software (POC) die enkel dient om schade aan te brengen bij derden verkopen zal ook voor de rechtbank kunnen worden bestraft.
Dat klopt Microsoft heeft veel regels en is ook niet gemakkelijk om uit te laten betalen. Alleen waar ik tegen op zie, is dat hij veel moeite heeft gedaan voor het maken van het filmpje. Kan die ook de regels na leven. (vind ik persoonlijk dan)

Als de hack echt is, dan heeft hij dit inderdaad wel gedaan. Alleen het feit dat ze al deels tot bijna weten waar de fout zicht geeft mij de twijfels eraan. Als je zo slim bent, kun je ook zoals jij zegt voorzorgmaatregelen treffen.

Zolang hij op zijn eigen omgeving hackt is er inderdaad niks aan de hand, maar het verkopen er van is illegaal. Als die daadwerkelijk verkoopt dan is die fout bezig.
3. Waarom? Zover ik weet doet hij hier niks strafbaars, hij heeft zover ik kan zien niemand gehackt om dit werkend te krijgen. Als hij alleen zijn eigen windows versie hackt kan hij ermee doen wat hij wil. Zolang hij hem zelf gekocht heeft is het zijn eigendom waaraan hij zit te hacken.
Dit is software verkopen welke als hoofddoel heeft het omzeilen van een technologische beveiligingsmaatregel. Dat is vizw in de USA en de EU gewoon illegaal hoor.
En toch doet een Frans bedrijf, VUPEN, dit open en bloot en ook nog eens aan de Franse politie.

Er is niet echt jurisprudentie op dit gebied maar er zijn echt tientallen bedrijven die dit open en bloot doen (Endgame is bijv. een andere hele grote) in zowel de VS als diverse EU landen en dat is voorlopig geen probleem. Die bedrijven hebben de overheden zelf als klant vaak ook.
Je post zou echt pas kracht bij zetten als je ons de desbetreffende wet benoemde.
Je post zou echt pas kracht bij zetten als je ons de desbetreffende wet benoemde.
In de VS zou dat ergens een artikeltje in de DMCA zijn.
Waarom 1 keer geld wanneer je d'r misschien wel 20x dat bedrag voor kunt krijgen..
Me dunkt dat hij geen exclusiviteit geeft aan kopers voor regio's..

Wat hier eerder al aangegeven is, transacties naar landen met een vermoeilijkt handelsembargo / politieke spanningen, het op tafel leggen van... ( en feitelijk hopen op de goodwill )

ik zou ook zeggen fuck it.. wie koopt.. verse aardbeiden.. 3 euro !
3. Je neemt de software af in licentie onder een bepaalde gebruikersovereenkomst. Daarin ga je er mee akkoord dat je dit soort dingen niet doet. Bovendien valt software onder de DMCA-wetgeving waardoor het verboden wordt om de beveiliging van software te omzeilen, wat dus precies is wat je doet met deze zero-day.
Wat ziet Microsoft dan? Het enige wat je ziet is een commandline window dat na 5 seconden van user verwisseld is.

Nee het is juist slim om het op deze manier te verkopen, de verkoper kan dan een reputatie opbouwen terwijl als hij gebruik maakt van het bug bounty programma hij alleen maar in de problemen kan komen
"Volgens Krebs gaat het bij de kwetsbaarheid om een zogenaamde local privilege escalation, die aanwezig is in win32k.sys."

Dit stukje informatie bied al erg veel voor Microsoft. Ook weten ze waar het probleem moet zitten, waardoor het zoeken naar de lek niet zo moeilijk wordt.

Het is misschien wel slim, als hij zijn hack 2x verkoopt. Dan staat die wel veel winst vergeleken met het bounty programma. Dat die alleen maar in de problemen komt ben ik niet mee eens. Hij of zei moet wel aan veel regels doen, maar als je veel moeite doet om het te verkopen had je ook die regels na kunnen leven.
veel plezier tussen 10k regels code.
Waarschijnlijk zit daar een groot team met erg veel kennis die vast wel weten waar ze moeten zoeken in de regels. Dat er 10k regels staan wordt hiermee veel verminderd. En als je met paar man 24/7 erop zit dan heb je het zo. (niet dat ze dit gaan doen ofzo)
Hoevaak denk je dat ze over code kijken voordat ze iets releasen?
Heb je daar niet unit tests voor? (als de kwaliteit van de unit testen tenminste goed zijn) Goed testen is beter als een beetje koekeloeren over je code.

[Reactie gewijzigd door Texamicz op 1 juni 2016 07:49]

Dan zou je voor elke situate een unit test moeten schrijven dat is onmogeljk. Vaak testen unit tests de werking niet de uitzonderingen zoals bit overloading etc.
Maar de quote is niet gebaseerd op feiten, dit is de theorie van een beveiligingsonderzoeker die niet achter de schermen bij Microsoft mee kan kijken.
Daar heb je gelijk in. Het is nog niet 100% zeker of het daadwerkelijk dit is.
Dit stukje informatie bied al erg veel voor Microsoft.
Op mijn systeem in win32k.sys ruim 3MB groot. Ik heb hier even gekeken naar projecten die een binary van 3MB opleveren, en ik kwam op 30000 of 100000 regels code uit.

Er zijn toch wel meer gegevens nodig.
Aan Microsoft verkopen is 1 verkoop. Aan criminelen verkopen kan misschien wel oplopen tot 10 verkopen. Dat is toch al gauw 900.000. Ik snap de logica wel.
Daar heb je gelijk in. De winst marge kan stukken groter worden. Alleen de risico is wel dat Microsoft dit in de volgende patch al dicht heeft. Dus verkoop zal snel moeten gaan. Dan had ik het persoonlijk anders aangepakt. Niet zo open en bloot neerzetten, maar met vertrouwde "hackers" gaan handelen. Ik denk als je zo goed bent in hacken vast wel een netwerkje hebt die dit graag willen kopen.
De hack is niet bekend, hoe wil je dan dat windows ze fixt ? Ook zijn veel systemen gewoon niet snel genoeg ge-update. Overigens mist nog een belangrijk deel namelijk tot op het machine komen, vraag is of deze bug dan ook zo snel in gebruik genomen zal worden, of eerder targeted gaat gebruikt worden ...
Niet iedereen heeft een netwerkje of is goed in netwerken. Sommige mensen zijn nou eenmaal introvert. Dus het ligt een beetje aan de hacker. Misschien moet hij een agent in de hand nemen.
Hij kan op deze manier de kwetsbaarheid aan meerdere partijen verkopen. Als hij het aan MS verkoopt is het eenmalig.
Maarja, MS biedt je maar 1 keer het geld aan, en waarschijnlijk ook nog eens met een NDA. op deze manier verkoop je het aan meerdere groepen en daarmee dus meer inkomsten, hij kan altijd nog voor kiezen om bij MS aan te kloppen (onder een andere naam)...
Microsoft bied zat geld, maar maximaal 100.000 voor dit soort bugs. Als je dus 2x de bug verkoopt voor 90.000 heb je een hoop meer geld verdiend. Ik ga er vanuit dat hij niet een exclusiviteitsrecht verkoopt op de hack :).
Is het niet counter-productief om uitgebreid een beschrijving van de exploit te plaatsen als je er ook 90.000 voor wilt hebben? Ik snap dat je klanten "bewijs" willen hebben voordat ze wat kopen maar maakt dit in feit het patchen niet makkelijker?
Als de code of exploit openbaar wordt dan kan er gepatched worden, en dan is die exploit eigenlijk niets meer waard.


Er zijn een tiental doeleinden voor het hebben van zo'n exploit, echter remote code uitvoeren zal lastig worden. Dit kan je gebruiken om fysiek toegang tot een locked W10 omgeving. Denk aan een bank bijv. om het swift gebeuren te injecteren enz.
Ik betwijfel of je bij een bank random exes kant uitvoeren, als je deze al op het systeem zelf kan krijgen.

Zo ernstig is deze hack niet, lijkt me in een AD omgeving vrij makkelijk tegen te houden (exe's verbieden behalve whitelist bv) en op een huis tuin en keuken PC zijn er wel meer methodes om jezelf admin rechten te geven. Alhoewel dit je system rechten geeft, welke wat meer gelijk staat aan de Linux root.
Hij laat alleen zien dat hij er een programma voor heeft geschreven, ik zie niet in hoe je daaruit kan afleiden waar de exploit zit (behalve de bestands locatie).
En 2 dagen nadat ie hem verkocht heeft.... meldt hij de bug bij MS of daar de vergoeding alsnog te incasseren.... Slim
Hij zal een NDA en exclusiviteitscontract ondertekenen.

Anders is het zinloos, partij die het koopt moet er ook "plezier" aan beleven.
Kan me niet voorstellen dat ie zichzelf identificeert, laat staan iets ondertekend.
Denk je dat hij 90K in bitcoins gaat krijgen? :)

Overigens zijn er TTP'ers (b.v. escrow service), zonder zich te legitimeren bij koper kan hij nog steeds aan condities voldoen van koper en 90K betaal je niet voor iets wat een minuut na betaling niet werkt/publiekelijk zal zijn.
Yep, in bitcoins, in escrow zodat de kopers het geld pas vrij geven als ze het geverifieerd hebben. Met de huidige koers zijn dat er maar 170, klinkt gelijk een stuk goedkoper ook :)
En iets op de zwarte markt kopen is altijd een risico.
Gaat niet gebeuren....

Legitieme partij zal financiŽle middelen die ze onttrekken aan bedrijf moeten onderbouwen. 90K in de lucht gooien zal fiscus niet acceptabel vinden.

Bovendien moet er verificatie plaatsvinden en exclusiviteit. Voornamelijk dat laatste is een probleem aangezien je niet wilt dat iemand zijn 0day heeft zitten delen met anderen.

Ik weet niet hoeveel transacties jij hebt gedaan, maar ik heb zowel als verkoper, als TTP en als koper nog nooit bitcoins of andere anonieme betaald methoden gebruikt, laat staan dat je geen overeenkomst hebt.
Ik stel me voor dat het net zo gaat als op de Slik Road, daar werden dit soort transacties dagelijks gedaan, anoniem. En aangezien het hier computer experts betreft denk ik dat de drempel voor hun nog lager om Bitcoins te gebruiken.
Ik zou het als bedrijf zien als investering die mogelijk profijt op levert of verloren gaat.
Legitieme kopers moeten uitgaven verantwoorden.

Als het handel is voor bedenkelijke doeleinden, dan zou wat jij beschrijft wel kunnen, immers een criminele organisatie hoeft geen rendement te halen op haar investering, zolang ze maar het doel voor ogen (reden aanschaf) legitimeren.

Maar daar weet ik niets van. Waarom 90K betalen voor een 0day als je diegene voor een fractie daarvan kan laten liquideren ?
Moet je wel weten wie het is en waar ie zit.
Money talks...


Geld trekt mensen aan, vice versa heb ik nooit meegemaakt.

Als jij iets wilt van een ander zullen concessies moeten doen.


Overigens vind ik discussie hier beetje vreemd... alsof we het over een 2 euro hebben... en zelfs dan is het bij de bakker gelijk oversteken :)
Ik denk ook wel dat z'n prijs veel te hoog is. Als het niet lukt kan die altijd nog wat anders proberen. Kijken wat de gek er voor geeft.
Maar misschien hoopt ie het aan een groep cyber criminelen te verkopen die al wat bij elkaar gejat hebben, maar voor een nieuwe roof een hack zoals hij aanbied nodig hebben. Zulk soort figuren zullen liever het risico lopen hun geld te verliezen dan gepakt te worden.
Aan een bedrijf word wat moeilijker waarschijnlijk, dan moet ie met een aantrekkelijkere hack komen willen die het risico nemen. Maar als de hack goed genoeg is kan de verkoper de voorwaarden bepalen, graag of niet principe.
Nu is de vraag: "Wie koopt dit en wat gaat ermee gebeuren?"
Als ik Microsoft zou zijn, zou ik hem in ieder geval uitkopen voor $100.000 of hem een stevige baan aanbieden onder de afdeling beveiliging. Ik hoop dat deze zero-day exploit snel wordt gepatched en dat er op grote schaal geen misbruik van wordt gemaakt.

Altijd wel interessant, het debat tussen white-hat en black-hat. Vraag me af wat de andere comments hiervan denken. Veel geld en een berucht persoon worden of white hat en worden afgezet met $10.000 oid..
Waarom zouden ze iemand in vertrouwen nemen die voor grof geld exploits probeert te verkopen op de zwarte markt? Zo werkt het niet. Voor dit soort dingen wordt je ontslagen, niet aangenomen.
"zwarte markt" ?

De grootste handel in zerodays is "ruil-handel" en die exploits komen pas na maanden en soms nooit bij buitenwereld/leverancier terecht.

Vergeet niet dat sourcecode van veel producten die wij gebruiken (zoals windows) gewoon bij bepaalde mensen die niet bij Microsoft werken in handen is.

Een goede sourcecode reviewer is zijn gewicht in goud waard en je kan hem beter in je organisatie hebben dan daarbuiten.
Een privelege escalation exploit is niet zo gevaarlijk als een remote code exexution exploit in bijvoorbeeld een web-browser. Zeker bij de laatste zijn deze schering en inslag.
Een RCE is pijnlijk omdat je er van buiten in kan, maar als je dan geen rechten hebt is er nog niks aan de hand. Als je dan ook nog een LPE hebt is er wel zeker een probleem.

Of als je al een beperkte toegang hebt, maar je kunt hem opwaarderen, dan heb je ook een probleem
Het lijkt me stug dat MS deze persoon zal aannemen. De forumposter kon immers samenwerken met MS door het te melden bij hun Bug Bounty program, maar heeft dat expliciet niet gedaan. Dan is het duidelijk dat je deze persoon niet in dienst wilt hebben, want er is geen basis van vertrouwen (wie zegt dat hij intern ontdekte bugs niet doorverkoopt? alle schijn is tegen)

Wat betreft whitehat vs blackhat: er is een leger aan bughunters die voor noppes bugs & vulnerabilities melden op openbugbounty.org. Die mensen doen hetzelfde werk als bovengenoemde blackhatter maar zonder winstoogmerk. Als vrijwilliger dus, omdat ze een veilig internet belangrijk vinden. Een bedrijf zal veel eerder deze personen belonen dan een afpersende blackhatter

[Reactie gewijzigd door anargeek op 31 mei 2016 16:21]

Zo zwart wit is het niet. Als je die exploit nu doorverkoopt aan de AIVD/NSA bijvoorbeeld? Valt het dan onder blackhat, of ben je dan een patriot die de veiligheidsdiensten helpt terreur tegen te gaan?

[Reactie gewijzigd door MenN op 31 mei 2016 16:47]

Dan verkoop je het ook niet op een openbare forum he,
Geen van beide.

Je word opgepakt voor iets, bijv aangifte zede/geweldsdelict.
(Niet lang, grote kans dat je volgende ochtend alweer vrijgelaten word i.v.m. formele fout 'Oops je was niet wie we zochten' foutje kan gebeuren excuses)
Ondertussen word je huis zorgvuldig overhoop gehaald zoekend naar wat ze van plan waren te bemachtigen.

Volgende dag kom je thuis, alles ligt er nog netjes zoals het was.

Indien jij de instantie X opzocht krijg je misschien nog een reactie terug
"Sorry geen interesse. Doei!"

[Reactie gewijzigd door osmosis op 31 mei 2016 16:58]

Nouja, als je de feiten in de VS bekijkt: ze sluiten mensen illegaal ellenlang op zonder mogelijkheid een advocaat in de arm te nemen, ze hunten keihard op whistleblowers.. dan heb je toch niet echt meer een alu-hoedje nodig om te geloven in een corrupt 'justitie'apparaat :)
hem een stevige baan aanbieden onder de afdeling beveiliging.
Dat is zo'n fabel. Geen enkel bedrijf wil iemand in dienst hebben die iets dergelijks heeft gedaan. Je weet dan van te voren dat zijn moraal bedenkelijk is en dat hij nooit met vertrouwelijke gegevens zal kunnen omgaan.
Wat is er black of white aan? Er wordt hier een mankement in een commercieel produkt uitgebuit wat waarschijnlijk gewoon had kunnen worden voorkomen door er meer tijd/geld aan te besteden. Wie is hier nou het zwartst?
Voor personen met gevonden bugs hebben ze een speciaal programma ( zie ook artikel) die kan oplopen tot 100.000 euro beloning. Veel geld voor een mug ;)
Niet iedere hacker voldoet aan de voorwaarden voor dat programma. Ook zijn er andere reden om het niet op die manier te doen. Namelijk:
-Niet bekend willen worden
-Bang zijn voor rechtzaken (het is eerder voorgekomen dat whitehat hackers zijn aangeklaagd)
-Lagere beloning
-Belasting
-Fundamenteel tegen Microsoft zijn
-Mogelijkheid om dezelfde bug meerdere malen te verkopen aan meerdere hackers. (90.000 * 30 kopers is 2,7 miljoen)

[Reactie gewijzigd door Centelte op 31 mei 2016 17:23]

Die rechtszaken voor hacken gaan dan neem ik aan over het binnendringen van externe systemen. Er is hier helemaal geen sprake van dat de persoon in kwestie op systemen van derden is geweest. Hij/zij toont heeft slechts een bug gevonden.
Minder kosten en minder tijdrovend dan een team van advocaten.
Alsnog voor dit soort enterprise niveau bedrijven is zelfs 100k wisselgeld.

En.. je krijgt niet zo maar je poen als je een exploit aangeeft.
Komt nogal wat bij te kijken, ze maken het je er niet echt gemakkelijk op.
Zoals je identiteit vrijgeven.

In kort, ik snap waarom sommige niet die route bewandelen.
Eenmaal op de radar van hun,. kunnen ze het je nog aardig moeilijk maken.

[Reactie gewijzigd door osmosis op 31 mei 2016 16:23]

100.000$ is een lachertje voor Microsoft. En bovendien maakt het niet uit MS geld verliest,
ze weten dat Windows het meest gebruikte en benodigde OS is.
*uche* correctie. Wist je dat er veel meer Android OSen draaiende zijn in de gehele wereld dan alle soorten en type Windows OSen (o.a. desktop, server, mobile en noem maar op) zijn?

Android is de allergrootste OS op aarde. Qua aantal. (Ja je zei niks over desktop) Ik praat hier over echt alle OSen die er bestaan. (Van OSen op magnetrons, printers, auto's tot aan mobieltjes, laptops, tablets en media centers aan toe. Gewoon alles wat een OS heeft)
hij had het over meest gebruikte OS, niet OS op de meeste apparaten.
De enigste overheersing die ik van android heb kunnen vinden is de inkoop, waar het zeker 59% heeft en de mobile market waar het 65 procent of zoiets heeft... Ondertussen staat windows nog steeds bovenaan met gebruik, daaronder linux(servers), daarna OSX en als laatste met iets van 5% android enz... (de OS die gebruikt worden)
Dat zijn cijfers op basis van browser gebruik. Niet echt gebruik door mensen. Een OS hoeft niet perse een browser te gebruiken of verbonden zijn met het internet.
Dus als gebruik maakt van een OS, maar niet het internet op gaat via een browser. Dan is dat voor jou dus geen gebruik? :)
Windows is niet het meest gebruikte OS. Dat is echt een broodje aap verhaal.

Feit 1: Er zijn meer mobile apparaten(mobieltjes/tablets) in de wereld dan desktops/laptops.
Feit 2: Desktop en Laptop verkopen gaan achteruit.
Feit 3: Marktaandeel van Android op mobieltjes is zo'n < 80%.
Feit 4: Google geeft aan dat er meer search queries zijn vanuit Android dan via Google search op de desktop.

Door deze feiten de combineren kom je gauw al uit opdat Android gemakkelijk de meest gebruikte OS is door mensen. En dus niet desktop windows.

[Reactie gewijzigd door Texamicz op 1 juni 2016 18:11]

Dat zijn cijfers op basis van browser gebruik. Niet echt gebruik door mensen. Een OS hoeft niet perse een browser te gebruiken of verbonden zijn met het internet.
Dus als gebruik maakt van een OS, maar niet het internet op gaat via een browser. Dan is dat voor jou dus geen gebruik?
in deze tijd is een internet verbinding bijna standaard...
Feit 4: Google geeft aan dat er meer search queries zijn vanuit Android dan via Google search op de desktop.
dit is redelijk logisch, een android telefoon heeft praktisch out of the box google als zoekmachine, op computers is dat wat de fabrikant wilt of wat windows wilt...
dat is dus o.a bing of yahoo of duckduckgo of google. Toch wel een beetje logisch dat er meer zoek opdrachten via android komen.

ik vraag mij toch af voor de bronnen waar jij je feiten vandaan haalt want ik kan dat zelf niet zomaar vinden.

[Reactie gewijzigd door vSchooten op 2 juni 2016 08:53]

Hij kan de kwetsbaarheid inleveren bij MD voor 100k of hem meerdere keren verkopen voor 90k per stuk.

Zo heel vreemd is het niet
Dit doet me een beetje denken aan een bedrijf laptop waarop ik de administrator rechten via een hack op heb gekregen. Door middel van "NETPLWIZ.exe" en "lusrmgr.msc" bestanden in system 32. Daarmee kon ik toen een extra account aanmaken en het later gewoon administrator rechten geven.

[Reactie gewijzigd door A11ert op 31 mei 2016 19:27]

Bovendien worden zero-days meestal niet op deze manier verkocht.
Bron ?

Als er een markt is die niet transparant is, is het die wel van zerodays.

Bovendien een "local privilege escalation" is niet zoveel waard.

Hij zou mogelijk 10.000 krijgen voor de moeite... dus hij tracht het op een andere manier aan de man te krijgen.

Bovendien publiekelijk aanbieden van zerodays heeft vaak een andere reden, netwerken, partijen die je dan benaderen kan je mogelijk ook andere dingen verkopen, die je nog hebt liggen of van derden hebt.

Remote zerodays kan je tonnen voor krijgen mits je maar de juiste partij weet te vinden.

[Reactie gewijzigd door totaalgeenhard op 31 mei 2016 19:08]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True