Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties

Het bedrijf Exodus Intelligence heeft een 'onderzoeksprogramma' aangekondigd, waarin beloningen voor het vinden van zeroday-lekken uitgereikt worden. Een dergelijk lek in iOS 9.3 of hoger is maximaal een half miljoen dollar waard.

Op de site van Exodus zijn meerdere producten genoemd waarvoor beloningen uitbetaald worden voor zeroday-lekken. De hoogste beloning is voor een nog onbekend lek in iOS 9.3 of hoger, op de tweede plaats staat Google Chrome met een maximale uitbetaling van 150.000 dollar. De aankondiging is opmerkelijk, omdat Apple onlangs zijn eigen beloningsprogramma introduceerde, waarbij het hoogste bedrag dat uitbetaald kan worden 200.000 dollar is. Dan moet het gaan om kwetsbaarheden in componenten van 'secure boot firmware'.

Een dergelijk hoge beloning voor een iOS-lek is niet nieuw, het bedrijf Zerodium biedt al langer een bedrag van 500.000 dollar aan, in dit geval voor een remote jailbreak van iOS. In 2015 bood het bedrijf gedurende een korte periode een bedrag van 1 miljoen dollar aan voor degene die een exclusieve, vanuit de browser uitvoerbare en untethered jailbreak kon vinden. Er waren toen echter geen partijen die een dergelijke kwetsbaarheid konden voortbrengen.

Exodus kan de via het programma ingekochte kwetsbaarheden vervolgens weer tegen betaling aanbieden aan derde partijen, bijvoorbeeld andere bedrijven of overheden.

Moderatie-faq Wijzig weergave

Reacties (59)

Exodus kan de via het programma ingekochte kwetsbaarheden vervolgens weer tegen betaling aanbieden aan derde partijen, bijvoorbeeld andere bedrijven of overheden.
Dit klinkt een beetje als gelegaliseerde computercriminaliteit. Als je het op je zolderkamertje doet krijg je de FBI op je dak, maar als je er alleen in handelt dan is er geen vuiltje aan de lucht.
Dit dus! Het is meten met twee maten... Hoe zijn zij beter dan hackers die dit voor eigen gewin doen? Immers zoekt dit bedrijf nu ook naar kwetsbaarheden voor hun eigen gewin... Beetje vreemde constructie in mijn ogen, of mis ik iets?
Ze zijn ook niet beter. Het gaat er echter niet om of je het voor het geld doet. Het gaat erom of je je eigen iPhone of computersysteem hacked, of dat je op die van een ander inbreekt. Dat laatste is strafbaar, het eerste niet.
Je zou dit toch minimaal uitlokken van illegaal gedrag kunnen noemen, en overheden/justitie zouden dit soort bedrijven genadeloos aan moeten pakken. Immers, het is ondenkbaar dat dit soort bedrijven dit doen wegens "goed burgerschap".

Probleem is dat deze overheden en justitie zelf vrijwel zeker de grootste klant van dit soort bedrijven zijn.
Ik vraag me ook een beetje af hoe dit in nederland opgevat zou worden, bijvoorbeeld kijkende naar:
2 Met dezelfde straf [[gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie]] wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c wordt gepleegd:

a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of

b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, vervaardigt verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft.
Je kan er dus maar beter heel zeker van zijn dat er geen misdrijf met je 0-day wordt gepleegd, zoals enige vorm van computervredebreuk, ongevraagd beveiliging omzeilen, privacyschending oid, of je riskeert als verkoper en handelaar 2 jaar...

[Reactie gewijzigd door Zoijar op 10 augustus 2016 22:29]

Als je de ontdekker bent, je verkoopt het aan deze onderneming die het vervolgens groot op haar frontpage adverteert en doorverpatst aan Bedrijfsspionage Inc. welke zich hiermee deelgenoot maakt van een intellectueel eigendom waar de rechtmatige eigenaar het niet mee eens is, pleeg je een strafbaar feit.
Wanneer je op de website van deze onderneming kijkt, zie je echter vooral respectabele klanten staan, Nergens wordt aangegeven dat ze middelen niet aanwenden voor klanten waarvan ze de naam niet mogen noemen met een heel andere agenda of deze klanten niet van dienst zijn.
Zolang nergens wordt gepubliceerd dat jij bedrijf X aan een werkende exploit voor een zero day lek hebt geholpen, en vervolgens duidelijk wordt dat die exploit gebruikt is voor een wederrechtelijke actie, is het lastig vervolgen.
Ik kan weinig vinden over het bedrijf exodus intel, anders dan een paar losse zero-days. Geen club die ergens laat zien dat ze te vertrouwen zijn.
Jij bent nooit strafbaar.tenzij jij weet dat je exploit voor illegaal gebruik gebruikt gaat worden. Dit zul jij nooit weten wat je verkoopt het aan bedrijf X. Bedrijf x verteld jou helemaal niet aan wie het doorverkocht wordt en hoe het gebruikt gaat worden. Hiermee ben jij dus gevrijwaard.

Jij verkoopt kennis. Kennis die een ander gebruikt.
Jij weet niet of die kennis, lees zero day legaal of illegaal gebruikt wordt.

Als ik een lockpick apparaat verkoop en iemand daar een inbraak mee gaat plagen ben ik ook niet strafbaar.
Als de Hema een mes verkoopt waarmee iemand wordt neergestoken is de hema laat staan de fabrikant van het mes ook niet verantwoordelijk.
Het moet wel aannemelijk blijven dat je te goeder trouw bent. De Hema is verkoper van huishoudartikelen en een mes hoort daar normaal bij, maar lockpickers en zero days vallen niet onder normale producten, dan ga je toch echt het heel grijze circuit in.

edit, ter verduidelijking: wat moet je anders met een lockpicker of zero day dan dingen doen zoals die niet bedoeld zijn? Deuren openen zonder sleutel, software installeren die je niet zou moeten kunnen installeren: ergens zijn waar je niet hoort te zijn...

[Reactie gewijzigd door jeroen_loeffen op 11 augustus 2016 15:24]

De truc zit hem in het stukje "met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c wordt gepleegd"

Zonder dat oogmerk heb je nergens last van...

In wezen geldt voor een betonschaar of een koevoet zo'n zelfde soort wetgeving en die zijn ook overal verkrijgbaar...
Maar een bak met Kali Linux, Ettercap, Wireshark etc. wordt al andere koek. Toon dan nog maar, dat het alleen gebruikt wordt om je eigen smartphone verkeer te monitoren...

Met de laatste revisies van de Cybercrime Act vwb W.v.Sr. ben je in NL ook de sigaar, met de bovenbeschreven warez op je machine, of je nou iets gehackt hebt, of niet. Of die apps nu freeware zijn of niet. Stond (weet het nummer niet meer) eens in het NJB en dacht dat ook Arnoud SuperFriet er iets over gepost had in een blog.
Het wordt dus in nederland NIET als strafbaarfeit aangemerkt:
"met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c wordt gepleegd"

In dezelfde zin als een gevechtsmessen winkel ook niet aansprakelijk is voor iemand die neergestoken wordt.

Het wordt uiteraard wat anders als ze daarnaast handleidingen posten hoe je het stiekem kan doen en/of advies geven hoe je er ongewenst toegang mee kunt verschaffen.

Maar het stukje "oogmerk" is niet zo makkelijk... "Ja maar het is een product dat bedoeld is om toegang te verschaffen" kan anders ook op lockpicks, messen etcetc worden toegepast dus is op zichzelf neit voldoende.
Overheden maken van dit soort bedrijven gebruik als ze perse een iPhone willen hacken omdat er bijv vermoeden is van terroristische dreiging. Wanneer die nood hoog is wordt er grof geld betaald. 500k is dan een investering die zich makkelijk terugverdient, al blijft het een speculatie of de 0-day niet ook door een ander gevonden wordt en gepatched blijkt tegen de tijd dat ze de 0-day willen verkopen. Interessante markt.
terugverdient? dat is relatief maat!

Als belastingbetaler vind ik het ontgrendelen van een crimineel/terrorist zijn iPhone geen 500k van ons betastingsgeld waard!

Het is gewoon illegaal, dat een overheid er een potentiele klant van is maakt het niet minder legaal.
Als die crimineel een familie lid van je ontvoert heeft en de locatie uit zijn telefoon te achterhalen is zou je wel anders piepen.

Stel het unlocken van een telefoon voorkomt een aanslag die tientallen levens zou kosten is het dan niet die 500.000 waard? Welke waarde hang jij aan een mensenleven.
Wat jij daar zegt is allemaal speculatief en 'wat als' praat, dat noem ik niet bepaald valide argumenten.
Voor elke familie lid die direct betrokken is bij een eventuele ontvoering zijn er ook zo'n 16 miljoen mensen die niet eens afweten van het bestaan van deze ontvoerde persoon maar die wel ook belasting geld betalen. Je kunt ALLES goedpraten door het vanuit een bepaald perspectief te bekijken maar dat maakt het niet het correcte perspectief. Gezien we het over 500.000 belastinggeld hebben dat door iedereen betaald moet worden is het correcte perspectief dan ook wat de waarde van de uitgave is voor AL deze mensen, gemiddeld genomen. Natuurlijk als het 1 triljoen euro zou kosten om mijn eigen leven te redden zou dat het uiteraard waard zijn.. vanuit mijn eigen perspectief... maar dat is, zoals ik hoop je kunt begrijpen, onzin om te stellen.

Je hebt het over 500.000 die ~misschien~ een aanslag zou kunnen voorkomen die ~10 mensen het leven zou redden.
Als we dan toch besloten hebben dat het enkel om kwantificeerbare cijfers gaat (gezien het aannemelijk is om te stellen dat je, statistisch gezien, geen van deze eventuele 10 personen zou kennen) dan zou ik stellen dat in plaats van 500.000 in anti-terreur bullshit te steken het nuttiger is om met datzelfde geld voedsel, onderwijs en medische hulp te voorzien voor mensen die het moeilijk hebben (zei het in eigen land of in een eventueel 3e wereld land). Weet zeker dat je op die manier meer dan 10 mensenlevens kunt 'redden'.

Statistisch gezien zijn er veel nuttigere dingen om je/ons geld aan uit te geven, maar ja mensen zijn nou eenmaal gevoelsdieren die makkelijk ontdaan zijn over van alles.
Niemand ligt er wakker van dat er veel meer mensen sterven aan auto-ongelukken of dronken geweld dan aan terrorisme. Er hoeft maar een vliegtuig neer te storten of een bom te ontploffen of een mafkees een school/bioscoop vol te schieten en ineens is iedereen in rep en roer... Ook al kunnen we (humaan/etisch) gezien geen einde maken aan dit soort dingen.. immers zullen er ALTIJD mafkezen en onstabiele en/of onverantwoorde personen bestaan die nog liever iemand anders het leven ontnemen dan een compromis te sluiten tussen hun wensen en die van anderen. En toch besluiten we dat we liever hier enorm veel geld aan uitgeven dan aan dingen die we W…L kunnen beÔnvloeden en die een veel grotere impact zouden hebben op de algemene veiligheid en het geluk van de bevolking.

tl;dr: als je er rationeel en logisch naar kijkt, is het hypocriet en inefficiŽnt.
Enige verantwoording die je kunt stellen is dat het een emotionele is, en dat is prima. Mensen kiezen vaak voor emotionele inefficiŽnte dingen in plaats van de rationele 'beste' keuzes.

Jij vroeg me welke waarde ik aan een mensenleven hang? Vrij weinig, eerlijk gezegd. Maar dat is irrelevant. Waar ik waarde aan hecht is het FEIT dat 2 mensen levens meer waard zijn dan 1, ongeacht wat jij of ik acceptabel vinden om te stellen als waarde per persoon.

Sorry voor de lange post, mijn autisme kwam even naar boven. De irrationaliteit van de gemiddelde mens is een gevoelige kwestie voor mij. :+

[Reactie gewijzigd door Ayporos op 11 augustus 2016 14:36]

verschil is,

dat de overheid justitie in dit geval de terorist zou kunnen stoppen voor hij iets gaat doen. Als jij naar de kroeg gaat en je zuip je vol en rijd daarna tegen een boom aan dat zou niemand van te voren hebben kunnen zien aankomen anders dan de mensen in de kroeg die hem hadden moeten stoppen.

Of bij het kopen van een mes bij de ikea dat jij daarmee een bloedbad zou kunnen aanrichten ja!! maar het gaat hier om chatter die opgevangen worden en nader onderzocht moeten worden.

Als is een gevaarlijk woord. Als ik nou dit of dat had gedaan. ten aller tijden zou justitie alle bronnen moeten ophoesten om een terorist, crimineel tegen te houden. En niet na de daad te hoeven zeggen als we nou die tool hadden gehad van 500.000 euro dan had dit misschien niet gebeurd.. Nee ze zullen altijd voor jouw en mijn veiligheid altijd alle bronnen moeten aanpakken om iets soortgelijks te kunnen tegenhouden.

Het is altijd naar als we horen dat er weer een miljard naar veiligheid gaat of naar andere zaken die jij en ik niet zien of geen weet van hebben waarvoor. Zo kunnen wij zonder alle feiten ook nooit zeggen dat iets onzinnigs is daar zou je eerst onderzoek moeten naar doen.

Daarnaast is het wel heel cru om te zeggen dat 2 levens meer waard zijn dan 1.. 1 leven is net zo veel waard als 10 levens bij elkaar. ongeacht onder welke omstandig dit valt. Aan een mensen leven kan je geen waarde hangen.. De waarde is onbetaalbaar. of je nu heel rijk bent of heel arm. Als een misdaad door te investeren in techniek of in exploids kan worden gestopt dan is dat het altijd het geld waard.

Echter men moet natuurlijk wel in acht houden en toetsen of een techniek ook daadwerkelijk positief bij kan dragen aan het oplossen cq voorkomen van een dergelijke misdaad.
Gadver. Wat een ruk post.

Ik ben het totaal oneens met ALLES wat je daar zegt.

""Als jij naar de kroeg gaat en je zuip je vol en rijd daarna tegen een boom aan dat zou niemand van te voren hebben kunnen zien aankomen anders dan de mensen in de kroeg die hem hadden moeten stoppen."
Volslagen non-argument. de 'data mining' van de overheid/justitie zou net zo effectief (misschien wel effectiever) kunnen zijn in het voorkomen van dit soort ongevallen (disclaimer: ik zeg niet dat data mining Łberhaupt effectief is).

"Als is een gevaarlijk woord. Als ik nou dit of dat had gedaan. ten aller tijden zou justitie alle bronnen moeten ophoesten om een terorist, crimineel tegen te houden. En niet na de daad te hoeven zeggen als we nou die tool hadden gehad van 500.000 euro dan had dit misschien niet gebeurd.. Nee ze zullen altijd voor jouw en mijn veiligheid altijd alle bronnen moeten aanpakken om iets soortgelijks te kunnen tegenhouden. "
Gadverdamme. Hier een leuke stelling die goed conform jou argumentatie correct is:
"Als iedereen nou gedwongen slechts 5km/u zou mogen rijden zouden er geen (dodelijke) auto ongelukken zijn"
Of wat dacht je van deze:
"Als we nou iedereen een halsband laten dragen met dodelijk gif die op afstand geactiveerd kan worden zouden we zo heel veel terroristen/geweldplegingen/misdaden kunnen oplossen"
Volgens jou beredenering is ALLES (maar dan ook ALLES!) wat ook maar zou kunnen helpen verantwoord dus tja jij MOET het wel eens hiermee zijn dan, toch?

"Zo kunnen wij zonder alle feiten ook nooit zeggen dat iets onzinnigs is daar zou je eerst onderzoek moeten naar doen. "
FEIT: Er worden nauwelijks concrete gegevens vrij gegeven door overheden over de (in)effectiviteit van data-mining. (hmm, waarom zou dat toch zijn?..)
FEIT: Uit de gegevens die wťl beschikbaar zijn / door derden geanalyseerd zijn blijkt dat data-mining volslagen ineffectief is en geen significante (let op, dit is een belangrijk woord!) invloed heeft op preventie.

"Daarnaast is het wel heel cru om te zeggen dat 2 levens meer waard zijn dan 1.. 1 leven is net zo veel waard als 10 levens bij elkaar. "
Uh... wat?... ik weet niet eens hoe ik hierop moet reageren. Misschien zou je de basis school eens over moeten doen want mij is toch echt geleerd dat 10 een GROTER getal is dan 1. Argh jou gedachten triggeren mij echt enorm.

"Echter men moet natuurlijk wel in acht houden en toetsen of een techniek ook daadwerkelijk positief bij kan dragen aan het oplossen cq voorkomen van een dergelijke misdaad. "
Joh, zou je denken? Waarom denk je dat ik en vele anderen zo negatief over al deze privacy-inbreukmakende data-mining zijn?.. zou het misschien zijn omdat dergelijke toetsing nimmer heeft plaatsgevonden?... of zou dat te veel voor de hand liggend zijn?...


Ik hoop ten zeerste dat je post een troll post is, want in dat geval heb je je doel bereikt.
Indien je dit allemaal serieus meent... *huivert*
Ik zou als ik jou was toch even terug gaan naar de basis(school)

ja 1 is minder dan 10. Maar dat is niet erg als je een pen sloopt. je kan altijd ergens nog een andere pen vandaan halen. Maar 1 leven is net zoveel waard als 10. je zult ten allertijden altijd net zo veel moeten doen om 1 leven te redden als 10 levens.

en je post over de auto slaat natuurlijk nergens op. Als iedereen gedwongen 5km/h zou rijden wie zegt dan dat je nog geen dodelijk ongeluk zou kunnen krijgen? Je kan met 5km/h nog steeds iemand hartstikke dood rijden.. De kans dat dit gebeurd is kleiner dan 50km/h. maar het kan nog steeds.

nogmaals het woord "ALS" is heel gevaarlijk in dit soort situaties. Vandaar dat regeringen, veliegheids instanties e.d. investeren en onderzoeken in nieuwe technieken. waarbij indien noodzakelijk het soms nodig is om data op een telefoon computer te verkrijgen. Vroeger hadden ze geen telefoons en computers.. ook toen werd data verkregen door in te breken of iemand in hechtenis te nemen en de kluis te breken. Nu gaat dat allemaal net iets moeilijker door nieuwe encryptie technieken.

Ja ik ben juist VOOR dat diverse instanties onderzoek doen, om preventief te kunnen handelen. Waarom denk je dat syrie-gangers heden daag langer in voorarrest moeten blijven zitten. juist om langer en met minder druk onderzoek te kunnen doen of die persoon strafbaar is of niet. Waarom omdat het een risico gebied is en iedereen die daar vandaan komt zeker als Nederlands inwoner. gechecked moet worden..

Hoe kan je anders checken dan data verzamelen?? Juist niet.. Of je nu 100 jaar geleden leefde of over 100 jaar leef. er zal altijd informatie verzameld moeten worden om te kunnen nagaan of iemand slechte bedoelingen hebben. En er zal altijd onderzoek gedaan moeten worden naar de beste manier.. De onderzoeken van nu hoeven daarom niet de beste te zijn dat zou misschien in de nabije toekomst beter zijn of technieken die al wat ouder.. Daarnaast gebeurd er steeds meer digitaal dus zal de informatie ook daarop gericht zijn. En ja er is nu te veel informatie waar nog niet goed mee omgegaan kan worden vandaar ook de onderzoeken naar nieuwe technieken en hacks om dit wel voor elkaar te krijgen en de juiste informatie naar boven te krijgen.

Raken we hiermee de onschuldige burger? Ja misschien wel. Willen we dit nee. Ik wil niet dat dit bij mij gebeurd. Helaas gebeurd het wel op grote schaal. En ja dat vind ik verkeerd. maar om perdefinitie te zeggen dat data verzamelen dus data mining verkeerd is en niet effectief is, durf ik niet hard te maken. Gezien zonder informatie hellemaal met lege handen zou staan.

Dus ik hoop dat 1 jij inziet dat het niet zomaar iets is. en 2 dat je begrijpt dat het moet om ook jouw en mijn veiligheid te kunnen waarborgen. waarbij op de laatste opmerking. de opmerking dat iedereen zo negatief is omdat men het niet begrijpt. Wat nou "ALS" (gevaarlijk woord) door data te verzamelen Osama bin Laden niet was opgestaan doordat de overheid hem al eerder had kunnen tegen houden om de WTC torens in te vliegen. "ALS" dat gebeurd was zou ISIS dan opgestaan zijn??
Ugh.. ik heb hier echt geen zin meer in maar ik zal je nog even wat 'food for thought' meegeven:
https://www.theguardian.c...relationship-turned-toxic
http://foreignpolicy.com/...-saudi-arabia-egypt-iraq/
http://fortune.com/2016/0...i-arabia-is-on-the-rocks/

Lees dit even ok? De wereld is complexer dan jij denkt.
Ga geen uitspraken lopen maken over ISIS, osama en het WTC terwijl je niks weet van wat er daadwerkelijk speelt in de wereld. Als wij (lees: het westen/de USA) daadwerkelijk iets EFFECTIEFS tegen terrorisme zouden willen doen zou dat heel simpel zijn... Saudi arabia plat bombarderen/aanvallen. Maar raad eens waarom dat nou niet gebeurt?... (ik zal je een hint geven: olie = geld = macht)

"en je post over de auto slaat natuurlijk nergens op. Als iedereen gedwongen 5km/h zou rijden wie zegt dan dat je nog geen dodelijk ongeluk zou kunnen krijgen? Je kan met 5km/h nog steeds iemand hartstikke dood rijden.. De kans dat dit gebeurd is kleiner dan 50km/h. maar het kan nog steeds. "

Gast, serieus? Jou argument vůůr data-analyse en dit soort praktijken is juist dat het 'mogelijk een vermindering van aanslagen' oplevert. Maar mijn auto argument vind je dan ineens niet kunnen? De hele reden dat ik deze opmerking maakte was omdat hij op dezelfde argumentatie berust als jou mening over anti-terrorisme maatregelen. Hij diende dan ook ter illustratie dat het onnuttig is om ALLES te doen om ZO VEEL MOGELIJK (terroristische aanslagen) te voorkomen. Je moet gemak afwegen met veiligheid en hoewel je kunt discussiŽren over waar je de balans wenst moet je gewoon rekening houden met diminishing returns. Die snelheidslimieten van 50/60/80/100/120/130 zijn niet compleet arbitrair, ze zijn een afweging tussen veiligheid en kans op ongelukken vs vervoerssnelheid. Je bent gewoon een hypocriet en daarbovenop moet je wel dom zijn omdat je dat niet eens door hebt.

Ik ga geen tijd meer aan jou verspillen.

[Reactie gewijzigd door Ayporos op 26 augustus 2016 15:23]

Dom?? Hypocriet, Sorry Dom ben ik zeker niet.. en autistisch al helemaal niet.. Je zult eens normaal door alle data heen moeten lezen ipv al die complot theorieŽn te lezen en mee complot theorieŽn te verzinnen.

Volgens mij kan jij niet redeneren. Er zal altijd en immer onderzoek gedaan moeten worden, om een terroristische of criminele aanslag te voorkomen. Zonder data geen informatie, zonder informatie gaat een aanslag door.

Dat ze nu nog niet effectief door de data kunnen filteren betekend niet dat het onderzoek naar de effectieve methode moet stoppen. te veel data is ruis, dat heb ik vermeld, je moet echter wel in je achterhoofd houden dan het verzamelen van die data noodzakelijk is om ons te kunnen beveiligen.

[Reactie gewijzigd door To_Tall op 26 augustus 2016 22:47]

Wat voor nut heeft het verzamelen van data wanneer jij stelt dat 1 (mensenleven) gelijk is aan 10 (mensenlevens).

Data verzamel je om een geÔnformeerd besluit te kunnen maken of een bepaalde techniek werkt, in hoeverre hij werkt, en wat het rendement is (in dit geval levens gered / kostenpost in geld en eventuele privacy opoffering). Met jou mening in het achterhoofd heeft data verzamelen totaal geen nut.

Wederom moet ik je dus toch dom en hypocriet noemen, omdat je eigen uitspraken elkaar tegenspreken.

Ik heb je in geen enkele reactie van mij beschuldigd van autisme, dat zou ik ook nooit doen. Ik heb zelf autisme, en juist dat zorgt er voor dat ik helder naar de feiten kan kijken en een mening kan hebben over de kosten/baten van dit soort issues zonder dat deze verkleurd wordt door irrationele emotionele stellingen als "1 mensenleven is net zo veel waard als 10 mensenlevens".

Betreffend mijn zo genaamde 'complot theorieŽn', heb je de artikels Łberhaupt gelezen? Omdat iets niet fijn past in jou beeld van de wereld maakt dat het niet minder waar.
Je zou eens wat minder de Telegraaf moeten lezen en misschien iets meer de Correspondent. Het zou je wellicht nog kunnen verbazen hoe ingewikkeld de wereld in elkaar steekt... ten minste, als je de intellectuele capaciteiten hebt om ze te begrijpen.. iets wat ik, gezien je reacties, jammer genoeg moet betwijfelen.
Aanpakken?

In oa IsraŽl is er gewoon een sector die niets meer of minder doet dan 0-days uit te buiten. Je mag er van uitgaan dat dit soort bedrijven werken voor de overheid, of dusdanig nauwe banden hebben dat overtreden tbv illegale doeleinden onmiddellijk aangepakt wordt.

En natuurlijk is er een bandbreedte in datgene wat legitiem is, maar Israel probeert met veel middelen een technologische voorsprong te houden in het MO en ver daarbuiten.

Iran is ook bezig om in hoog tempo een inhaalslag te maken op gebied van ICT na het akkefietje met de kerncentrales.


Er zijn genoeg landen die de kennis zeer belangrijk achten.
Nee dat is het niet.

Je kan ook een cursus volgen hoe kan ik een slt van een woning kraken. Er zijn hele fora met lockpicking, je kan lockpicking tools online vrij kopen.
Pas als jij actief bij iemand ansders gaat inbreken ben je in overtreding.

als jij op jou ios apparaat naar een zero day gaat zoeken is daar niets mis mee, je doet dan nog niets illegaals.
Besluit jij die zero day in te gaan zetten om toegang te krijgen tot zeg het toestel van je buurman of iemand anders dan heb je een probleem.

Nu besluit je echter de kennis van die zero day te verkopen. Ook dat is niet illegaal, immers zelfs apple en andere bedrijven geven er geld voor.

Waar het natuurlijk schimmig wordt is de bedrijven die zero days kopen en doorverkopen aan overheden of andere bedrijven. zodra deze dan ingezet worden kan het illegaal zijn maar dat is dan niet langer jou probleem als ontdekker van de zero day.
Ik vind het een beetje hetzelfde principe als een patenttroll. Leven en profiteren van andermans uitvindwerk (hack/uitzoekwerk).
Het wordt weer een ander verhaal als het gevonden lek wordt doorverkocht aan de geheime dienst van bijvoorbeeld USA of NL. Dan is het ineens geen computercriminaliteit meer, maar gereedschap voor uw veiligheid.
Nou Apple kan het wel weer opgeven dan met hun eigen bug bounty programma, die bedragen komen niet eens in de buurt van iets als een half miljoen.
Hoezo? het werkt voor de andere grote bedrijven ook en die geven peanuts vergeleken met Apple. Net eens gekeken naar het reward programma van Google en dat is max 20.000 dollar.

https://www.google.be/about/appsecurity/reward-program/
Jouw link geldt enkel voor de websites die ze runnen (google.com: youtube.com, etc.)

De Chrome rewards alleen al zijn 100K per stuk.

Daarnaast hadden ze tot vorig jaar hun Pwnium event met een totaalbudget van 3,14 miljoen.
Android lekken zijn anders ook niet veel waard...
100k is een uitzonderlijk hoog bedrag dat je alleen krijgt als je persistent de beveiliging op Chrome OS weet te omzeilen. Op basis van de criteria daar is de beloning voor een misbruikbaar lek in de sandbox 22.5k, en eventueel 1337$ erbij als je een oplossing aandraagt. Voor UXSS slechts 7.5k$, terwijl zo'n lek misbruikt kan worden om (bijv. vanuit een advertentie) data van willekeurige andere sites uit te lezen.

Deze bedragen zijn laag vergeleken met wat andere handelaren ervoor betalen (zeker niet altijd in de buurt van een half miljoen, maar toch wel een aantal factoren meer). Wat Google wel siert is dat je alleen maar een kwetsbaarheid hoeft aan te tonen (bijv. met ASAN), en dat er dan naar de potentieel meest ernstige consequenties wordt gekeken zonder dat je daadwerkelijk een volledige exploit hoeft te schijven.

Dit is wat Google te zeggen heeft over de handel in kwetsbaarheden:
Q: The black market / my friend Ned pays more for my bugs! Do these comparatively low reward levels encourage the sale of bugs to people in trenchcoats and dark sunglasses?

A: We understand that there are dark corners of the Internet that may pay you more money to purchase any vulnerabilities that you find or exploits that you develop. These people buy vulnerabilities and exploits for offensive purposes to target other users on the Internet. We believe that the reward you are getting comes with strings attached - including buying your silence and accepting that any bug you sell may be used to target other people without their knowledge. We understand that our cash reward amounts can be less than these alternatives, but we offer you public acknowledgement of your skills and how awesome you are, a quick fix and an opportunity to openly blog/talk/present on your amazing work (while still offering you a very healthy financial reward for your work!). Also, you'll *never* have to be concerned that your bugs were used by shady people for unknown purposes.
.
Ik denk dat je wel een hele extreme bug moet vinden wil je maar enigszins in de buurt komen van die half miljoen.
Je gaat er vanuit dat er nu alleen maar mensen zijn die voor het geld gaan. Sommige mensen hebben ook nog een goed hart. En het is leuk dat Apple ze nu ook iets biedt.
Waarom zou je niet aan allebei verkopen?

Denk niet dat ze info met elkaar delen over de deelnemers aan hun bounty-programma's.
Dat zat ik me ook te bedenken maar ik schat zo in dat het slag mensen dat jou een half miljoen betaald voor hacks niet het soort mensen zijn die je graag boos wil maken mochten ze er achter komen dat jij aan beide partijen verkoopt.
Maar dan ga jer vanuit dat dit bedrijf zulke bedragen echt kan en gaat betalen. Dat hoeft natuurlijk helemaal niet zo te zijn. Die hoge bedragen zijn het lokkertje.
De doodsteek van de jailbreak.
Doodsteek? Dit gaat hier eerder om de bron van de jailbreak en van software die niet via de Apple Store kan.
Op de Pangu site staat dat hun Jailbreak voor 9.3.3. ook voor 9.3.4. werkt, alleen een kwestie van dat ze pangu app en cydia nog niet kunnen installeren. Volgens hun eigen zeggen komt de nieuwe Jailbreak eraan. Tot zo dus nog geen einde voor het jailbreaken.
Hoer dacht ik ook er gelijk aan.
Helaas, jailbreak op de iPhone is toch wel " iets " waar ik aan gehecht ben.
Vind ťcht jammer dat ze jailbreak community willen verkleinen.


" waarom ga je dan niet naar Android?"
Nou nee, Android heeft dan weer bepaalde tweaks niet wat op iOS wel heeft. Daarnaast is mijn voorkeur iOS, simpel, easy to use.
Android heeft dan weer bepaalde tweaks niet wat op iOS wel heeft.
Mag ik vragen welke tweaks? Puur interesse.
Het lijkt erop alsof de wedloop om nieuwe lekjes begonnen is. Zodra er iemand echt gekke bedragen gaat bieden (en blijkbaar betaalt, anders voelt de concurrentie zich niet geroepen om mee te bieden) dan volgen er een heleboel andere partijen.

Van de andere kant beginnen de bedragen nu ergens op te lijken, nu kun je er als onderzoeker tenminste je brood mee verdienen. 5000 euro voor een kritiek lek is leuk, maar dat vind je natuurlijk niet dagelijks, en je bent een hoop tijd kwijt met het in kaart brengen ervan.
Dat lekken zo veel geld waard worden is ook een indicatie dat het evenwicht tussen vraag en aanbod verandert; wellicht een indicatie dat lekken zeldzamer worden.
Of misschien dat de waarde van lekken accurater ingeschat wordt op de legale markt. Tot nu toe mocht je blij zijn met een aai over je bol en een vermelding in het grote OngelezenWeekblad, of je kon de zwarte markt op, waar de geruchten waren (en zijn) dat lekken je duizenden euros konden opleveren, maar die stap is toch wel best eng.

Wellicht maakten teveel mensen toch die stap, en zien bedrijven zich gedwongen (misschien doordat er nu losgeld/claims neergelegd worden bij ze) om de lekken zelf te kopen.
Of een indicatie dat de vraag naar lekken stijgt dus, als er nu ook "vraag" ontstaat vanuit een legale markt.
Het is een linke boel voor bedrijven als Google en Apple, omdat het grote risico's creŽert dat "insiders" lekken zullen introduceren om later ten gelde te kunnen maken.
Insiders zijn uitgesloten van deelname als bekend is dat ze de lekken hebben geÔntroduceerd. In theorie is het mogelijk als ze samenwerken met een ander (die dan de fout rapporteert). Maar als je al zo'n afwijkend moreel kompas hebt, dan heb je geen bounty programma nodig: zo'n persoon gaat gewoon de (zwarte) markt op.
Ook link als mensen die bij Apple of Google werken bewust een lek inbouwen om dat vervolgens zelf te melden en een miljoen op te strijken..

Met dit soort bedragen doen mensen met de juiste toegang rare dingen...
Als je het dan aanbiedt aan bijvoorbeeld Apple en Google dan zullen zij heus wel even doorvragen over hoe en wat. Als dan blijkt dat het via een eigen medewerker komt krijg je een leuke situatie.
Dan ben je wel heel erg simpel als je dat doet, het gaat er juist om om het dan aan dit soort malafide bedrijven aan te bieden..
En wat nou als jij een partner hebt die de lek verkoopt en jij buiten het plaatje word gehouden?
Ja, eigenlijk hoort dergelijke handel keihard illegaal te zijn. Dit zijn blackhat praktijken op op bedrijfsniveau. Ik hoop dat hier geen analogie voor het algemeen publiek nodig is om te snappen dat dit soort zaken ziekelijk zijn.
Tsja, wat doe je eraan?
Als een land dit verbied, zal het zaakje worden verhuisd naar een land die dit toestaat.

Daarnaast is de roep om dingen te simpelweg te verbieden altijd een standaard reflex. Aan de economische werkelijkheid ga je niets veranderen (nl dat een zeroday lek veel waard is).

Kunnen we niet iets beters verzinnen dan het proberen te verbieden?
Ja, dat softwarebedrijven meer bieden dan deze vieze vuile ****. :P
Wordt aan/verkoop hiervan bekend gemaakt? Als je meldt dat je een zeroday hebt gekocht gaat apple natuurlijk als een idioot opzoek naar dit lek. Als je het niet meldt is er niks dat de verkoper let om het lek aan meerdere partijen te verkopen, wat de waarde ervan flink zou doen afnemen zodra dit bekend is.
Ja, ze gaan de exacte details publiceren van een zero day die ze net gekocht hebben |:(

Denk eens na. Deze jongens denken een slim handeltje gevonden te hebben, betalen 500,000 om vervolgens Apple om meer geld te vragen en als Apple niet wil betalen dan verkopen ze de exploit aan andere partijen.
Of verkopen op de zwarte markt voor nog meer geld en de beveiliging van miljoenen gebruikers in t geding brengen :p, ook dat kunnen ze doen (ik zeg niet dat ze dat doen voordat de humorloze downvotes weer beginnen). Ik vind het overigens knap wat Apple het afgelopen jaar aan security heeft gedaan, de laatste jailbreak duurde meer dan een half jaar, waar het voorheen binnen een maand het os al gekraakt was, en de jailbreak is ook in een record tempo gepatched met ios 9.3.4. Nu qualcomm nog haha.
Ik vraag me toch af hoe dit juridisch zit. Als je een bug vind moet je die toch aangeven bij dat bedrijf. En een bedrijf die zero-days verkoopt ik dacht dat dat alleen via het tornetwerk kon maar kennelijk kan dat allemaal gewoon.

PS half miljoen is niet gek. 8)7
Er waren toen echter geen partijen die een dergelijke kwetsbaarheid konden voortbrengen.
Die zin is te algemeen. Er waren toen geen partijen die (voor zover bekend gemaakt) een dergelijke kwetsbaarheid aan Exodus Intelligence kon leveren.

Niet iedereen is te koop en bovendien wat erbij inlichtingendiensten van China/India/Rusland/Amerika en natuurlijk Israel allemaal aan 0-days rond liggen weet niemand.

Maar half miljoen om een half jaar op iets te studeren is natuurlijk wel interessant.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True