Shadowbrokers vragen 20.000 euro voor exploitabonnement

De Shadowbrokers, die eerder NSA-exploits online zetten, hebben bekendgemaakt wat de kosten zijn voor hun maandelijkse dump van exploits. Geïnteresseerden moeten een bedrag van omgerekend 20.000 euro betalen voor de maand juni, over te maken in de Zcash-cryptovaluta.

De Shadowbrokers laten weten dat deelname aan het abonnement voor juni mogelijk is door het overmaken van 100 Zcash naar een bepaald adres. De valuta maakt net als bitcoin gebruik van een openbare blockchain, maar de afzender, ontvanger en de overgeboekte hoeveelheid Zcash blijven onbekend. De Shadowbrokers schrijven dat elke transactie voorzien moet zijn van een e-mailadres voor levering.

Daarop krijgen partijen die het bedrag betaald hebben een mail met een bevestiging en vervolgens een wachtwoord om de dump te ontsleutelen. Wat de inhoud van de aankomende verzameling exploits is, maakt de groepering niet bekend. Vanwege het bedrag dat voor de 'dienst' betaald moet worden, zeggen de Shadowbrokers dat deze alleen geschikt is voor 'high-rollers, hackers en beveiligingsbedrijven'. Zij stellen verder dat de keuze voor Zcash niet vaststaat en dat er voor de dump van juli mogelijk een andere betaalwijze komt.

De Shadowbrokers kondigden de abonnementen eerder deze maand aan. Toen gaven zij voorbeelden van de inhoud van de dumps. Bijvoorbeeld exploits en tools voor browsers, routers en handsets, nieuwe exploits voor Windows 10, gestolen gegevens over Swift-betalingsaanbieders en centrale banken. Daarnaast sprak de hackersgroep van gestolen netwerkdata van Russische, Chinese, Iraanse of Noord-Koreaanse nucleaire activiteiten en raketprogramma's.

De groepering heeft in het verleden hacktools gepubliceerd die afkomstig zijn van de Equation Group, waarvan wordt uitgegaan dat dit de NSA is. Onlangs publiceerden de Shadowbrokers informatie over Windows-exploits. De exploits werden later vrijgegeven en een ervan, Eternalblue, maakt gebruik van een kwetsbaarheid in het SMB-protocol. Die kwetsbaarheid speelde een belangrijke rol bij de verspreiding van de ransomware WannaCry.

IT-banen

Reacties (73)

0xygen500 30 mei 2017 08:59

Als Microsoft even 20k overmaken, peanuts voor het bedrijf en misschien zit er nog wat leuks tussen dat gepatched moet worden.

P1nGu1n

@0xygen500 • 30 mei 2017 10:10

Mogelijk dat de NSA Microsoft weer inlicht over de kwetsbaarheid, net zoals ze bij EternalBlue deden: nieuws: 'NSA meldde kwetsbaarheden aan Microsoft voor Shadowbrokers-publicatie'

0xygen500 @P1nGu1n • 30 mei 2017 10:24

Na 5 jaar ja, dan zou ik liever 20k uitgeven en het meteen te weten komen.

dasiro @0xygen500 • 30 mei 2017 12:56

er zal wel ergens een black budget zijn, maar uiteraard zal dat niet te herleiden zijn. grote bedrijven komen wel vaker in aanraking met criminelen om er een verborgen policy voor te hebben

Verwijderd @0xygen500 • 30 mei 2017 15:33

Waarom? De eerste ronde heeft ons geleerd dat als je niet toegeeft aan dit soort praktijken dat de informatie uiteindelijk toch wel naar buiten komt. Boven dat mag de NSA 0days niet meer achter houden.

nieuws: Wetsvoorstel VS dwingt NSA om overheidsorganen te informeren over zer...

Via Microsoft bughunt programma kunnen ze al een hoop cash verdienen op een legale wijze.
https://technet.microsoft.com/nl-nl/library/dn425036.aspx

Persoonlijk vind ik dat deze groep het maar dom aanpakt, maar goed ze kunnen waarmaken wat ze zeggen dus jah.

0xygen500 @Verwijderd • 30 mei 2017 15:45

"Boven dat mag de NSA 0days niet meer achter houden" Wake up, de NSA mag wel meer niet en doet dit toch.

Verwijderd @0xygen500 • 30 mei 2017 15:57

https://nl.wikipedia.org/wiki/Aluminium_hoedje

koekoek!

Volgens mij begrijp jij niet zo goed wat er word gezegd.

[Reactie gewijzigd door Verwijderd op 31 juli 2024 13:48]

0xygen500 @Verwijderd • 30 mei 2017 16:33

Ik begrijp zeker wel wat er gezegd wordt, delen met andere overheidsorganen. Dat houdt dus in dat ze gewoon doorgeven aan CSA,FBI etc dat er een lek zit en wat je er tegen kan doen. Dat NSA zich eraan moet houden zou ze een worst wezen. Wie controleert de NSA? Wil je wat weten van NSA? Denk het niet maat, veiligheidsbelang voor het land dat we het niet melden.

Verwijderd @0xygen500 • 30 mei 2017 16:56

Nog steeds niet het punt wat ik probeer te maken, maar goed. Als jij niet begrijpt hoe het systeem werkt en als jij er complottheorieën erop na wil houden dan kan ik jou niet helpen.

0xygen500 @Verwijderd • 30 mei 2017 17:00

Liever wat complottheorieën dan iemand die denkt dat hij toch niks te verbergen heeft. NSA mag alles weten, ik ben toch geen crimineel ik heb niks te verbergen...

atlaste @0xygen500 • 30 mei 2017 09:20

Het lijkt me beter als niemand 20K overmaakt - dan bloeden ze vanzelf dood.

0xygen500 @atlaste • 30 mei 2017 09:21

Of ze verkopen het op een shady market place via TOR. Dan heb je geen idee wat je moet patchen en lopen je gebruikers nog risico?

Edit: Zeker irrelevant...

[Reactie gewijzigd door 0xygen500 op 31 juli 2024 13:48]

atlaste @0xygen500 • 30 mei 2017 09:23

Vraag is hoeveel risico de gebruikers lopen. Of om het anders te verwoorden: hoeveel zero-day exploits erin zitten.

Als voorbeeld: De SMB exploit onder WannaCry was al een hele tijd een bekend probleem, waar al een patch voor was. Het grootste probleem is dat mensen/bedrijven geen windows updates installeren (om redenen).

Een simpel abonnementje op de Fulldisclosure mailinglist werkt dan net zo goed...

Netrunner @atlaste • 30 mei 2017 09:42

Zal niemand een worst wezen of ze doodbloeden of niet, microsoft kan hier, mochten ze er zijn, een aantal zeer kritieke lekken patchen.

atlaste @Netrunner • 30 mei 2017 10:11

Nogmaals, de vraag is of het zero-day exploits zijn of lekken die allang gepatcht zijn. In het tweede geval is het nl. nog steeds heel effectief als virus, maar heeft Microsoft er helemaal geen pepernoot aan.

0xygen500 @atlaste • 30 mei 2017 12:59

20k is niks voor een bedrijf als MS. Als je kans hebt om maandelijks zero day's te ontvangen voor dat bedrag zou ik het zeker niet laten.

Verwijderd 30 mei 2017 09:06

Tja. De prijs is laag genoeg om betaalbaar te zijn voor grote bedrijven, en dat maakt de waarde van de inhoud automatisch minder. Elk bedrijf met meer dan 20 man op de loonlijst zo zo'n uitgave kunnen doen, al gaat het misschien niet van harte.

Ja, je hebt weet van exploits. Daar heb je alleen wat aan als je ze zelfstandig gaat patchen of blocken ten behoeve van jezelf of je klanten. Dus security bedrijven. Of je koopt ze voor de volgende ronde van WannaCry.

lever @Verwijderd • 30 mei 2017 09:15

Ik zie niet wat een bedrijf als Google weerhoud om dit te kopen en dan publiek te maken. Of tenminste de andere bedrijven in kwestie in te lichten.

Exploits zijn dus niks waard

Verwijderd @lever • 30 mei 2017 09:21

Zelfs als je alles publiek zou maken en er een patch voor zou uitbrengen, mensen lopen altijd achter dus genoeg slachtoffers over.

dutchgio @lever • 30 mei 2017 10:27

Volgens mij krijgen de 'Shadowbrokers' dan in ieder geval al 20K, van notabene Google.
En lang niet alles zal tijdig gepatched worden, dus ook voor cybercriminaliteit is dit interessant.

jimbo123 @lever • 30 mei 2017 10:50

Volgens mij mogen ze het niet kopen omdat aannemelijk is dat ze criminelen verrijken.

Falcon 30 mei 2017 09:07

Maar waarom 20k? Waarom geen 50k? Zou het veel uitgemaakt hebben met het aantal verzoeken die ze gaan krijgen?

Anonymoussaurus

Security

@Falcon • 30 mei 2017 09:13

Omdat ze anders helemaal niks verkopen. Ze zijn niet voor niets gestopt met andere methoden: nieuws: Shadowbrokers stoppen met veiling van NSA-hacktools

De enige klanten kunnen criminele groeperingen zijn, of bedrijven als Microsoft.

[Reactie gewijzigd door Anonymoussaurus op 31 juli 2024 13:48]

mkools24 30 mei 2017 08:47

Is dit aftrekbaar van de belasting als je dit koopt?

Goldwing1973 @mkools24 • 30 mei 2017 09:00

Volgens mij is dit gewoon gestolen data en valt dit onder heling.
Lijkt me sterk dat je gestolen goederen kan aftrekken als post bij de belastingdienst.

Chielllie @Goldwing1973 • 30 mei 2017 09:36

Ik kan me herinneren dat de NL belastingdienst een cd rom met gestolen bankgegevens van zwartspaarders kocht en gebruikte.
Ik denk dat daarmee heling als strafbaar feit door de overheid zelf om zeep is geholpen.

Atomsk @Chielllie • 30 mei 2017 11:18

Ik geloof niet dat dit zo werkt: "Agent rijdt te hard" -> Alle snelheidslimieten in Nederland ongeldig verklaard!

Chielllie @Atomsk • 30 mei 2017 16:35

Nee, maar de overheid geeft hiermee wel een bijzonder raar signaal af.

defixje @Chielllie • 30 mei 2017 21:50

Ik snap wat je bedoeld, maar helaas staat de overheid boven alles.

Jou voorbeeld van de Belastingdienst dient alleen maar in het belang van de Nederlandse economie, en dan mag het ineens wel. Alleen maar omdat Nederland met deze informatie er financieel op vooruit gaat. (helaas draait alles altijd om geld en dan is het "nood breekt wet")

bbob

Netwerk en systeembeheer

@Chielllie • 30 mei 2017 09:48

over dat soort informatie zijn ook rechtszaken geweest

https://fd.nl/economie-po...uit-in-zwartspaarderszaak

2015 zijn de aanslagen bijv door rechter vernietigd. Loop nu dacht ik nog bij hoge raad.

Chielllie @bbob • 30 mei 2017 21:59

Thx

Origin64 @Goldwing1973 • 30 mei 2017 09:10

Het is pas heling als je weet (of de rechter redelijkerwijs kan aannemen dat je had moeten weten) dat je gestolen goederen koopt. Daarbij zijn exploits geen fysieke producten en kunnen ze in theorie met bijv. reverse engineering of gewoon dingen proberen gevonden worden, zonder een bedrijf te hacken of ergens in te breken.

mrdemc @Origin64 • 30 mei 2017 09:23

Het is dan ook uitgebreid in het nieuws besproken waar deze exploits vandaan komen; hebben ze zelf ook al aangegeven:
https://web.archive.org/w...p://pastebin.com/NDTU5kJQ
Gestolen data dus

Lijkt me niet aftrekbaar en zou ik ook niet als bedrijf zijnde gaan kopen.

Vermoedelijk gaat het in dit geval ook om zogenoemde 'Strategische goederen':
https://www.belastingdien...tegische_goederen_content

Daar heb je dan dus een vergunning voor nodig om het te kunnen aanschaffen/importeren.

Origin64 @mrdemc • 30 mei 2017 10:08

Dat er in het nieuws is dat die data gestolen is, maakt het nog geen feit dat je ook in de rechtbank kunt gebruiken. Net als je niet kunt aanhalen dat russische hackers trump aan zijn verkiezing hebben geholpen. het moet ook nog worden bewezen. Voor de rest bedankt voor de info!

[Reactie gewijzigd door Origin64 op 31 juli 2024 13:48]

mrdemc @Origin64 • 30 mei 2017 10:09

Misschien dat je iets verder moet kijken dan de eerste zin... Het feit dat ze zelf aangeven dat het is gestolen maakt het heling. Wat ze dus doen

En waarvan ik ook een bron meegeef.

@Origin64 hieronder:
Het is hoe dan ook strafbaar om zulke tools aan te schaffen of in bezit te hebben en over te gaan tot aankopen / importeren tenzij je de juiste vergunningen in bezit hebt.

[Reactie gewijzigd door mrdemc op 31 juli 2024 13:48]

Origin64 @mrdemc • 30 mei 2017 10:11

en als ze dat er niet bij zouden zeggen voor de lulz en de hacker credits? hypothetisch? zouden ze het dan legaal kunnen verkopen?

[Reactie gewijzigd door Origin64 op 31 juli 2024 13:48]

Dragonheart-03 @Origin64 • 30 mei 2017 09:15

Het is aannemelijk dat dit gestolen info betreft. Daar bestaat geen twijfel over meer toch?

Wordt er kennis verkocht dan zou het ook openbaar kunnen toch en niet op deze manier waarvan men nou niet kan zeggen dat het 'goede bedoelingen' zijn.

The Zep Man

Netwerk en systeembeheer
Security

@Dragonheart-03 • 30 mei 2017 09:41

Het is aannemelijk dat dit gestolen info betreft. Daar bestaat geen twijfel over meer toch?

"Het is aannemelijk dat Trump een landverrader is. Daar bestaat geen twijfel over, toch?"

Er is een verschil tussen algemeen geaccepteerde aannames en juridisch bewijs. Ja, redelijkheid en billijkheid hebben altijd een rol, maar voor dit soort aantijgingen moet eerst bewezen worden dat iemand schuldig is voordat er sprake kan zijn van een veroordeling, omdat men immers onschuldig is tot het tegendeel is bewezen.

Verwijderd @Origin64 • 30 mei 2017 09:59

Zodra je exploitdata koopt bij een partij die eerder al gegevens van de NSA online heeft gegooid en daarvoor betaalt in ZEC, dan kun je er volgens mij wel redelijkerwijs vanuit gaan dat er iets niet helemaal in de haak is.

Overigens zijn geld (digitaal), bedrijfsgegevens en overheidsgegevens ook geen fysieke producten. De straffen die op misbruik van dat soort gegevens staan zijn onderhand hoger dan op die voor moord.

Origin64 @Verwijderd • 30 mei 2017 10:10

dat klopt, een rechter zal dan ook als het goed is niet zomaar toestaan dat iemand deze exploits aanschaft en wil gebruiken zonder de bak in te gaan. maar een exploit zelf is niet per definitie illegaal.

Ircghost @Origin64 • 30 mei 2017 09:14

Reverse engineering is zeker niet altijd juridisch acceptabel in alle landen: https://www.eff.org/nl/issues/coders/reverse-engineering-faq

Yzord @Goldwing1973 • 30 mei 2017 09:03

Dan moet er een aangifte zijn van "iemand" die de exploits mist. Denk niet dat die er is en het is ook niet aan de Belastingdienst om te bepalen of dat wel zo is.

biglia @Yzord • 30 mei 2017 09:54

Die computerclub uit Amerika, NSA, mist wel iets, denk ik. Maar ik heb ook geen idee of zij aangifte hebben gedaan.

jopiek @Goldwing1973 • 30 mei 2017 09:34

Nou is de MIVD / AIVD ook niet echt geïnteresseerd in belastingaftrek volgens mij.

bbob

Netwerk en systeembeheer

@Goldwing1973 • 30 mei 2017 09:44

De belastingdienst kijkt heel anders naar zaken.

Koop jij iets dat gesloten is in en verkoop je het weer maak je winst.
Over die winst moet je belasting betalen.
Je betaald geen belastingen over het gehele bedrag maar mag daar je inkoop van aftrekken.
Probleem bij criminele zaken is toon maar eens aan wat je betaald hebt. Een bonnetje krijg je normaal niet hoewel in dit geval maak je een bedrag over in welke valuta en manier dan ook en krijg daar iets voor terug.
Theoretisch kun je dat gewoon aftrekken.
Of het gestolen informatie is, daar gaat de belastingdienst niet over dat is weer een zaak voor het OM

MrBernard @Goldwing1973 • 30 mei 2017 10:30

Als ze gepakt worden is heling waarschijnlijk wel het laatste probleem waar ze mee te maken krijgen.

DigitalExorcist @mkools24 • 30 mei 2017 08:50

Ligt eraan of je het zakelijk gaat gebruiken of niet. In dat geval zijn het zakelijke onkosten en vaak wel aftrekbaar. Denk alleen dat het overhandigen van een bonnetje op deze manier wat lastig is.

Aan de andere kant, als je vervolgens de Belastingdienst ermee hacked en je eigen gegevens een beetje bijwerkt, hoef je helemaal geen bonnetje te overleggen. Dus dat.

atlaste @DigitalExorcist • 30 mei 2017 10:09

Een factuur van zCash lijkt me wel te bemachtigen en dat is het asset dat je koopt.

DigitalExorcist @atlaste • 30 mei 2017 10:13

Dan ondermijn je toch het principe dat afzender, begunstigde en bedrag onbekend blijven?

atlaste @DigitalExorcist • 30 mei 2017 10:18

Ik zie niet in waarom. Als ik geld overmaak naar zCash krijg ik vast een factuur oid. Wat ik vervolgens met die zCash doe is een andere zaak - maar ik weet niet of dat relevant is. (Note dat het 2 transacties zijn en zCash geen officiele valuta is dus eigenlijk maar 1 transactie)

[Reactie gewijzigd door atlaste op 31 juli 2024 13:48]

CivLord

@atlaste • 30 mei 2017 14:46

Wil je de kosten zakelijk af kunnen trekken moet je de zakelijkheid van de transactie aan kunnen tonen.
De aankoop van de zCash is in feite niets meer dan het inwisselen van Euro's voor Dollars en de Belastingdienst neemt ook geen genoegen met een bonnetje van het GWK dat je Dollars hebt gekocht (tenzij je valutahandelaar bent). Je moet aan kunnen tonen wat je met die zCash hebt gedaan. Maar wanneer je een afschrift hebt dat je de zCash naar het adres hebt overgemaakt, dan zal dat samen met de bekendmaking van Shadowbrokers voldoende zijn om de transactie aan te tonen.

Blijft over dat je aannemelijk moet kunnen maken dat de aankoop zelf zakelijk is, dus of de aankoop past bij je onderneming. Werk je in de ICT-beveiliging, dan is het geen probleem. Ben je groenteboer, dan past het niet bij je bedrijf en zijn het geen zakelijke kosten die je af kunt trekken.

Ben je black-hat hacker, en doe je netjes aangifte van je inkomsten/ buit, dan kun je het abonnement ook als kosten in je belastingaangifte aftrekken. In beginsel kijkt de Belastingdienst er niet naar of je inkomsten uit criminaliteit afkomstig zijn en of de kosten betalingen zijn voor criminele diensten.
In beginsel, want kosten die samenhangen met een misdrijf waarvoor je bent veroordeelt zijn niet aftrekbaar. Dus zolang je niet veroordeelt bent zijn de kosten voor het plegen van misdrijven aftrekbaar (hoewel het in sommige gevallen lastig kan zijn om een bonnetje te krijgen en/ of de zakelijkheid aan te tonen). Maar wanneer je veroordeelt bent, dan kunnen de kosten die je in de voorgaande jaren hebt afgetrokken in aangiften waarvoor je nog geen definitieve aanslag voor hebt gekregen, alsnog gecorrigeerd worden.
Maar dan gaan we uit van het weinig realistische geval dat een crimineel wel netjes belastingaangifte doet.

atlaste @CivLord • 30 mei 2017 15:28

De aankoop van de zCash is in feite niets meer dan het inwisselen van Euro's voor Dollars en de Belastingdienst neemt ook geen genoegen met een bonnetje van het GWK dat je Dollars hebt gekocht

Lijkt me dat als je een holding (e.g. SBI-code: 6420 - Financiële holdings) hebt, dat geen probleem is.
Een holding heeft immers als doel om te beleggen, investeren, etc, etc.

Als je een IT bedrijf hebt, lijkt het me ook makkelijk - dan kan je alle zCash / Ether / Bitcoin aankopen prima uitleggen als up-to-date blijven in je vakgebied.

[Reactie gewijzigd door atlaste op 31 juli 2024 13:48]

CivLord

@atlaste • 30 mei 2017 15:46

Oke. Maar dan komt het bedrag in zCash/ etc. op je balans te staan als belegging. Wat je er dan verder mee doet moet wel zakelijk zijn. Zet jij het als groenteboer als belegging van tijdelijk overtollige liquide middelen op je balans, dan kan dat. Het zijn geen kosten.
Zodra je er iets mee koopt, zoals dit Shadowbrokers abonnement, dan zul je die aankoop moet kunnen bewijzen, wil je de kosten af kunnen trekken, De oorspronkelijke aankoop van zCash is daar niet voldoende voor. Zodra de Belastingdienst ziet dat de zCash van de balans verdwenen is en je kunt niet aantonen wat je er mee hebt gedaan, dan zal het als uit het bedrijf onttrokken winst worden belast.

atlaste @CivLord • 30 mei 2017 15:53

Zodra de Belastingdienst ziet dat de zCash van de balans verdwenen is en je kunt niet aantonen wat je er mee hebt gedaan, dan zal het als uit het bedrijf onttrokken winst worden belast.

Hmm fair punt. Als IT bedrijf heb je dat issue niet.

Wel interessant dit. Betekent dit ook dat als ik gewoon Ether koop als holding voor -zeg- 1000 euro, het een jaar later nog steeds 1000 euro 'waard' is voor de belastingdienst (ongeacht of het 100 of 10000 is volgens de koers)? En als ik het als IT bedrijf koop 'als research in cryptocurrency' ik het gewoon in 1x kan afschrijven?

CivLord

@atlaste • 31 mei 2017 07:48

Ja hoor, als IT bedrijf heb je hetzelfde issue. cryptocurrency wordt gezien als goederen/ waardepapieren.
De aankoopwaarde wordt op de balans gezet als belegging, of bij een IT bedrijf onder de juiste omstandigheden misschien als bedrijfsgoed. Bij verkoop wordt het verschil tussen de balanswaarde gezien als winst of verlies en als zodanig in de belastingaangifte verwerkt. Bij grote tussentijdse waardestijging of -daling kan je de cryptocurrency herwaarderen en, waarbij het verschil tussen de oude en nieuwe waarde winst of verlies is.
Afschrijven kan alleen als het een bedrijfsgoed is, dat ook daadwerkelijk in waarde is gedaald. Stel dat je het als 'research' zou kopen (waarom eigenlijk?) en je zou het na je research naar 0 afschrijven (mag niet, er zijn regels voor het afschrijven van goederen), dan zou je bij vervreemding (verkoop, overdragen aan de directeur of op wat voor andere manier ook van de balans verwijderen) de actuele waarde alsnog tot je winst moeten rekenen.

badboyqxy @DigitalExorcist • 30 mei 2017 10:59

Nederland heeft aangegeven dat valuta coins onder goederen vallen dus de regels zijn het zelfde dan als dat je een tafel zou kopen.

ThaJens @mkools24 • 30 mei 2017 10:06

Ze konden me het niet vertellen bij de belastingtelefoon.

atlaste @mkools24 • 30 mei 2017 10:07

Weet ik niet zo goed. zCash is volgens mij geen officiele valuta. Kortom, (aangenomen dat je het koopt in je bedrijf): dat koop je, trek je af van de belasting en schrijf je vervolgens in een klap af. Denk ik zo...

Maar in alle eerlijkheid, ik heb me altijd al afgevraagd hoe dit zit bij crypto-currency zoals BitCoin, Ether, etc...

[Reactie gewijzigd door atlaste op 31 juli 2024 13:48]

Wallus @mkools24 • 30 mei 2017 08:52

Misschien kan je met deze dump dat zelf regelen bij de belastingdienst

Driesser @mkools24 • 30 mei 2017 08:54

Als je dit in koopt als onderdeel van je bedrijf wel.... Waar je dit voor gebruikt is niet relevant. De wet inkomstenbelasting specificeert alleen illegale wapens en drugs als niet aftrekbare kosten.

Dus ik zou wel even een factuurtje vragen die aan de factuureisen voldoet!

CivLord

@Driesser • 30 mei 2017 14:48

De wet inkomstenbelasting specificeert alleen illegale wapens en drugs als niet aftrekbare kosten.

En kosten die verband houden met misdrijven waarvoor je veroordeeld bent.

bogy @mkools24 • 30 mei 2017 08:58

moet je een factuurtje vragen hé ... dan valt het op de balans onder het kopje "handelsgoederen" en dan is het maar net of je er btw op betaalt hebt of niet hoe veel je kan aaftrekken (wellicht moet je de btw er gewoon zelf nog op gaan betalen; maar de eindklant betaalt die dan toch weet terug aan jou, wellicht in bitcoins ipv met zcash

KirovAir 30 mei 2017 08:46

Dat is relatief gezien peanuts voor dit soort exploits. Al zouden ze vooraf bekend maken voor welk type OS'en de komende exploits zouden zijn, zijn ze zelfs voor particulieren interessant.

Nimja 30 mei 2017 09:10

Is dit afpersing of een betaling voor expertise?

Lastig vraagstuk. MS betaald, b.v. voor dit soort informatie met hun bug-hunter programmas. Dus dit is (an sich) niet eens zo vreemd.

Maar toch. Naar smaakje.

CivLord

@Nimja • 30 mei 2017 15:04

Bij afpersing kun je tegen betaling voorkomen dat er iets gebeurt. Maar dit is voor iedereen beschikbaar die er het geld voor over heeft.

Het zou afpersing zijn wanneer ze alle exploits voor Windows tegen een fors bedrag aan Microsoft hadden aangeboden, met het dreigement het anders openbaar te maken. (Dat kan uiteraard ook gebeurd zijn en óf Microsoft heeft niet toegehapt óf Shadowbrokers heeft Microsoft belazerd en wil nu dubbel cashen.)

Nimja @CivLord • 2 juni 2017 11:18

Het is aan de andere kant weer "wel" afpersing omdat ze tegen een bedrijf zeggen:

Hey ja, je kunt gewoon meebetalen of niet natuurlijk. Maar dan krijgen andere bedrijven die wel betalen, wel toegang tot jou exploits en je weet er blijkbaar niet vanaf want ze werken nog.

sygys 30 mei 2017 09:50

Ik blijf het nog altijd bijzonder vinden dat deze gasten niet traceerbaar zijn. je stuurt iets van A naar B over het internet. Hoe kan het toch zijn dat je niet kunt weten waar B is als je het er wel heen kunt sturen? Echt onbegrijpelijk dat het blijkbaar heel eenvoudig is om illegale praktijken te kunnen uitvoeren op het internet zonder dat je te achterhalen bent.

eyhey @sygys • 30 mei 2017 11:18

Meestal zit er tussen A en B nog een C. Elke ochtend sturen duizenden mensen waaronder A een brief naar C, en s'avonds stopt C ze in een andere envelope en stuurt ze allemaal weer terug naar iemand.
De enveloppen hebben encryptie waardoor je de inhoud niet kunt bekijken, en omdat de encryptie(sleutel) tussen B en C en tussen A en C veranderd kun je de binnenkomende post niet vergelijken met de uitgaande post.
Vaak zit C dan ook nog ergens in een land waar er geen regels zijn qua loggen van verbindingen en A en B geen illegale praktijken uitvoeren waardoor er vaak niks tegen C gedaan kan worden.

Tweak3D 30 mei 2017 09:34

Zou dit niet gewoon een actie zijn van de NSA, waarmee 'bepaalde iemanden' zich in de kijkert spelen? Ik ga ondertussen mn backup verder aanscherpen. Brace for impact!

xiphoid 30 mei 2017 09:59

haha, wat een bluf.
Mensen die 1 dingen hebben door een masseltje en dan denken de tweede ronde 1000% meer te doen op de bluf van de eerste ronde.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (73)

Sorteer op:

Weergave: