Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsonderzoekers willen Shadowbrokers-dump via crowdfunding kopen

Door , 61 reacties

Twee beveiligingsonderzoekers, voornamelijk bekend als Hacker Fantastic en x0rz, zijn een campagne op Patreon begonnen om de recentelijk aangekondigde dump van de Shadowbrokers te kopen. Op die manier willen zij ongeveer 22.000 euro ophalen.

Het doel van de campagne is om de dump die de Shadowbrokers voor juni hebben aangekondigd, te kopen en te onderzoeken. Daarbij moet blijken of er exploits voor onbekende kwetsbaarheden tussen zitten. Als dat zo is, willen de onderzoekers deze melden aan de desbetreffende fabrikanten en ontwikkelaars. De verkregen gegevens worden uiteindelijk aan alle backers van de campagne verstrekt, zo beloven de onderzoekers. Desalniettemin hebben zij zelf eerst toegang tot de data, samen met personen die 500 dollar of meer inleggen.

Het team achter de campagne, dat zichzelf het Shadow Brokers Response Team noemt, identificeert zelf al enige problematische aspecten van zijn oproep. Zo is het onduidelijk wat de inhoud van de Shadowbrokers-dump precies zal zijn. Eerder maakte de groepering bekend wat de inhoud mogelijk zou kunnen behelzen. Het gaat bijvoorbeeld om exploits en tools voor browsers, routers en handsets, nieuwe exploits voor Windows 10, gestolen gegevens over Swift-betalingsaanbieders en centrale banken. Daarnaast sprak de hackersgroep van gestolen netwerkdata van Russische, Chinese, Iraanse of Noord-Koreaanse nucleaire activiteiten en raketprogramma's.

Daarnaast is het team zich ervan bewust dat zij met de koop 'het kwaad financieren'. Daar stellen zij de vraag tegenover of mensen hadden betaald als bijvoorbeeld WannaCry daardoor voorkomen had kunnen worden. In het ergste geval komen de tools uit de aankomende dump in handen van criminelen die ze gebruiken om verdere aanvallen uit te voeren, aldus de onderzoekers.

De legaliteit van het aankopen van gestolen hacktools bespreken de onderzoekers niet, hoewel dit door anderen als kritiek wordt geuit aan het project. In Nederland is het bijvoorbeeld illegaal om 'technische hulpmiddelen' aan te schaffen die toegang kunnen geven tot een systeem als het de bedoeling is om dat ook daadwerkelijk te doen. Het oogmerk moet daarom al aanwezig zijn.

De Shadowbrokers, die eerder een exploit publiceerden die werd gebruikt voor de verspreiding van de WannaCry-ransomware, maakten dinsdag bekend dat de kosten voor de eerste dump 100 Zcash bedragen, wat neerkomt op ongeveer 20.000 euro. De onderzoekers vragen een bedrag dat iets hoger is, omdat de koers van de anonieme cryptovaluta nog kan veranderen. De dump maakt onderdeel uit van een 'abonnement' dat bestaat uit maandelijkse publicaties door de Shadowbrokers.

Sander van Voorst

Nieuwsredacteur

Reacties (61)

Wijzig sortering
Desalniettemin hebben zij zelf eerst toegang tot de data.
Als je $ 500,- backed krijg je tegelijkertijd toegang tot de data als het team.
If you pledge this amount will provide you with access to the data at the same time as the rest of the team receive it. You are a swell human being (aliens and unidentified also welcome) who has the technical capabilities to contribute to a team of equally competent individuals. You will be automatically considered as part of the "first response" to get the data as fast as possible.

[Reactie gewijzigd door pelt op 31 mei 2017 10:58]

Klinkt dubieus? In plaats van 22.000¤ neer te leggen word ik backer en krijg ik toegang voor maar ¤500.

Heeft dit geen ervarechts effect? Of willen zij de backers controleren?

Toegegeven als er legitieme meldende onderzoekers bij zitten heb ik minder lang plezier van de exploitatie maar Jan desalniettemin nog een hoop schade aanrichten.
het is eigenlijk wel een goede zet ergens -> nu kan men (grote bedrijven zoals microsoft, google, etc) gewoon "samen" een dump kopen -> voordeel, je geeft de "criminelen" minder geld dan als iedereen de zelfde dump koopt.
Ik snap niet dat hier crowdfunding voor nodig is...
Waarom betalen Microsoft en Apple hier niet voor..

Ik ga toch ook niet betalen omdat iemand anders wil gaan onderzoeken waarom of dat mijn opel boordcomputer een bug zou hebben...
Dit vindt ik de verantwoordelijkheid van opel...

Net zoals dat deze hacks en bugs de verantwoordelijkheid zijn van de makers van de software waar die in zitten...
Ik vind het belachelijk als men hier überhaupt voor zou gaan betalen als consument.
Het gaat om mensen die zelf willen grasduinen in de gegevens niet om mensen die mogelijke exploits willen melden bij softwaremakers (al zal daar de mailbox waarschijnlijk wel vollopen met mails van mensen die naar aanleiding van de dump exploits willen melden).
Dank, dat voeg ik er nog aan toe.
Het is in NL alleen illegaal als Artikel 138Ab, 138b of 139c overtreden wordt

Lees anders dit stuk eens met ethercap als voorbeeld:
https://www.win.tue.nl/~aeb/linux/hh/cybercrime.html

[Reactie gewijzigd door GrooV op 31 mei 2017 10:55]

Is 20.000 euro niet erg weinig voor dit soort informatie?
Eigenlijk wel, maar als je er veel meer voor gaat vragen, verkopen ze amper abonnementen. De enige die zoveel geld willen lappen zijn overheden, Google, Microsoft en you name it ;).

Ze zijn niet voor niets gestopt met andere methoden: nieuws: Shadowbrokers stoppen met veiling van NSA-hacktools

[Reactie gewijzigd door AnonymousWP op 31 mei 2017 10:55]

Eigenlijk wel, maar als je er veel meer voor gaat vragen, verkopen ze amper abonnementen. De enige die zoveel geld willen lappen zijn overheden, Google, Microsoft en you name it ;).
En hackers die hopen op bruikbare exploits die meer op zullen leveren dan ¤ 20.000.
Dat weet ik niet, er staat niet echt wat je er voor krijgt.
Het betreft ook een maandelijkse dienst dus je mag dat blijven betalen als je nieuwe content wilt krijgen.

Straks krijg je twee tools die binnen een paar dagen gepatcht zijn, dan is 20K veel geld denk ik.
Het is 20.000 per klant.

Waarschijnlijk valt er ook wel te praten over het alleenrecht op de info, alleen dan ga je wel over andere bedragen praten uiteraard :)
Blijkbaar kan je ze bij dit groepje al krijgen voor 500 euro...
In Nederland is het bijvoorbeeld illegaal om 'technische hulpmiddelen' aan te schaffen die toegang kunnen geven tot een systeem.
Dus Windows is illegaal? :?
Maar goed, twijfelachtig initiatief - maar een waar ik me wel iets bij voor kan stellen. De afweging tussen "je steunt criminelen" en "je voorkomt verdere schade"... doel heiligt in dit geval het middel.
Vanuit de wet waarnaar wordt gelinkt:
"een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of
b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, vervaardigt verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft."
De zin is in het artikel wat ongelukkig weergegeven inderdaad. Dat sluit niet aan op de wet, die daarbij al het misbruik benoemt.
Windows valt dan niet onder bovenstaande...

[Reactie gewijzigd door dutchgio op 31 mei 2017 11:12]

Dan zou je eerder Kali linux moeten verbieden, maar ook dat is volkomen legaal te gebruiken in Nederland. Daar zitten al behoorlijk wat tools in verwerkt die, als je er iets van snapt, het mogelijk maakt aanvallen te doen op systemen.

Je weet niet of ze wel alles geven of niet. Ook al betaal je, daar ging het ook mis met de veiling die ze wilden houden. Probleem is je werkt met criminelen. Als er kans is dat Z cash te achterhalen/traceren is doen. Dan kun je die bende criminelen aanpakken, helaas is crytocurrency moeilijk te achterhalen.
Je vraagt je af waarom bedrijven als Apple of MS deze dump niet gewoon kopen? 20k is toch een schijntje voor hen. Zal wel met de legaliteit te maken hebben maar kan toch best via een achterdeurtje, bijv als privéaankoop door een goed betaalde medewerker?
Omdat het kopen van deze dump symptoom bestrijding is, en niet het aanpakken van het onderliggende onderdeel.

Ja, dan heb je deze reeds exploits kunnen patchen. Maar je zorgt er tevens ook voor dat er een volgende reeds exploits komt, en een volgende, en een volgende etc. Die misdaad loont dan namelijk.

Slechte actie, die crowdfunding wat mij betreft. Het is met alle goede intenties bedoeld, maar op lange termijn maakt het alles alleen maar erger.
Omdat het kopen van deze dump symptoom bestrijding is, en niet het aanpakken van het onderliggende onderdeel.

Ja, dan heb je deze reeds exploits kunnen patchen. Maar je zorgt er tevens ook voor dat er een volgende reeds exploits komt, en een volgende, en een volgende etc. Die misdaad loont dan namelijk.
Deze groepering kan niet onbeperkt exploits genereren. Ze hebben een beperkte zet. De manier waarop ze het aanbieden is niet zo netjes natuurlijk, maar er zijn zat bounty-programma's waarbij deze bedrijven grote bedragen voor gevonden exploits betalen.

Het echte onderliggende probleem is dat code geschreven wordt door mensen en mensen maken fouten. Geen code is perfect. Dat onderliggende probleem is de komende tijd niet op te lossen. Mogelijk dat computergestuurde programmeurs in de toekomst er iets mee kunnen, maar zo ver zijn we nog lang niet.

Het is ten eerste zaak om Shadowbrokers op te pakken - zij verkopen gegevens die zij onrechtmatig verkregen hebben, en dat is strafbaar. Maar daarnaast zou ik er alle begrip voor opbrengen als grote IT-bedrijven of deze groep via crowdfunding de exploits inkoopt zodat ze gepatched kunnen worden. Het een sluit het ander sowieso niet uit, en met een beetje mazzel komt het geld uiteindelijk nog terug ook.
Maar als de grote bedrijven dit opkopen houden ze deze vorm van criminaliteit wel in stand. Of ze moeten Zcash kunnen traceren en zo de groep kunnen inrekenen maar het lijkt me dat dat heel erg moeilijk is.

Want het blijft heling, of je nu consument/hacker bent of een tech bedrijf.
Sommige exploits zijn niet voor niets jaren oud, ze zijn gewoon lastig te vinden.

Het zal nooit volledig ophouden (zeg nooit nooit, misschien ooit, maar niet in de vooruitzienbare toekomst). Maar het wordt wel steeds lastiger exploits te vinden en er zullen steeds minder mensen overblijven die de exploits uberhaupt zouden kunnen vinden.

15-20 jaar geleden had Windows een open deur veiligheids niveau, elke hobbyist kon Windows login schermpjes bypassen, CPU's laten crashen of gewoon rotzooi uitvoeren als root (administrator is een ander concept) en kon dus hacken. Vandaag de dag dien je best veel kennis in huis te hebben om de gemiddelde computer/server nog lekker te kunnen exploiten. (ik reken hier ongepatchde meuk niet mee, dat is en zal altijd gatenkaas blijven)
Dat exploits verkocht worden is niks nieuws en houdt niet op (niet vanzelf), dit is toevallig een geval apart omdat er is ingebroken bij een 'geheime' dienst die een zooi exploits op de plank had liggen.

Echter het houd zich al in stand, dus of je er nou aan mee doet of niet zal weinig invloed hebben...
En toch blijkt dat het in de praktijk anders ligt. Ze hebben immers hun prijs al eerder verlaagd. Het werkt toch ontmoedigend door het gewoon niet af te nemen en andere partijen hetzelfde te adviseren.

Zelfde verhaal als met die cryptolockers.
Ze hebben immers hun prijs al eerder verlaagd.
Dat hun de prijs verlaagden kwam dacht ik vooral omdat niemand geloofde dat ze daadwerkelijk die exploits hadden en/of zouden afgeven als er betaald was...
Het werkt toch ontmoedigend door het gewoon niet af te nemen en andere partijen hetzelfde te adviseren.
Nee als jij nu zegt dat je geen Google diensten meer af neemt is dat niet ontmoedigend voor Google, omdat er genoeg andere zijn die het wel doen. Pas als bijna iedereen dat zegt dan wordt het een probleem. Zo gaat dat ook voor die exploits, elk legaal bedrijf kan wel nee zeggen maar als de inkomsten uit het illegale circuit al voldoende zijn maakt dat geen verschil over het wel/niet doorzetten van die tactiek ;)
elk legaal bedrijf kan wel nee zeggen maar als de inkomsten uit het illegale circuit al voldoende zijn maakt dat geen verschil over het wel/niet doorzetten van die tactiek
True, kwaadwillende zullen er lak aan hebben en juist liever zien dat de Exploits blijven komen. Maar de discussie ging in dit geval waarom bedrijven als MS en Apple deze exploits niet (zouden moeten) kopen ;)
Maar dan is het toch maar een extra'tje dat als het er niet is, wat weinig invloed zal hebben op de gang van zaken.
Lijkt me zeer waarschijnlijk dat ze dat ook doen. Maar natuurlijk hou je dat stil.
'Het kwaad financieren' om het kwaad te kunnen bestrijden.
Het blijft een beetje dubbel. Maar ik denk dat het uiteindelijk goed is, en meer kwetsbaarheden kan oplossen dan het veroorzaakt.
Een essentieel vraag in deze hele kwestie is wie het kwaad heeft veroorzaakt/gecreëerd, althans mogelijk heeft gemaakt.
Tsja, uiteindelijk zijn de Shadowbrokers de aanstichters. Het lek zit/zat in Windows (heb het nu even over Eternalblue), maar de Shadowbrokers hebben dit openbaar gemaakt, en hierdoor is Wanacry gepatcht om gebruik te maken van Eternalblue. Wanacry bestond namelijk al voordat dit lek ontdekt/misbruikt werd.
De NSA heeft die dingen gevonden, en die hebben het niet goed beveiligd. Dus de Amerikaanse overheid gaat zeker niet vrijuit hier.
Het blijft een beetje dubbel.
Wie weet is het helemaal niet dubbel, maar scam. Geven ze voor dat geld de exploits niet vrij en rennen ze er vandoor met het geld. Ik ga dit iig niet backen.
Shadowbrokers zijn criminelen dus die gedachte is helemaal niez zo gek. Overigens is door dit zo open te doen het best mogelijk om Shadowbrokers van dit plan af te doen zien. Hun waardevolle zaken in de openbaarheid is niet wat zij en hun andere klanten willen. Dit kan zonder dat er geld vloeit naar Shadowbrokers het hun wel moelijker maken.
Microsoft of een grote andere partij moet dit gewoon aanschaffen, 20k is niks voor zulke grote bedrijven. Als ze het via de NSA moeten horen, dan kan je nog 5 jaar wachten.
Doen ze ook vast wel.
Maar dan wel anoniem.
Dan kunnen ze t ook anoniem ergens op internet dumpen.
Binnen een paar dagen zal er vast wel ergens een torrent zijn met de complete inhoud.
Mee eens, daar hebben de meeste zelfs een budget voor:
- Microsoft Bounty Programs
- Google Vulnerability Reward Program
Dat is als een persoon het aangeeft ja, dit is een iets andere versie
nog beter is dat ze deze crowdfunding samen groot maken -> des te minder geld gaat er naar de "criminelen".
'In Nederland is het bijvoorbeeld illegaal om 'technische hulpmiddelen' aan te schaffen die toegang kunnen geven tot een systeem.'

Je kunt je als (groot) bedrijf natuurlijk netjes aan de 'wet' houden en vertrouwen op onze overheid. Of zelf het heft in handen nemen en er voor zorgen dat je kritische systemen veilig blijven. Ik weet wel voor welke optie ik zou gaan..
Wat is de precieze defintie, want met degene die je noemt maak je zelfs toetsenborden illegaal.
Er moet ook voldoende bewijs zijn van intentie wil je daar problemen mee krijgen. Een bouwvakker heeft bijvoorbeeld een bus vol inbrekersgereedschap. Het is anders als het gereedschap in een zwarte mercedes ligt welke om 0200 uur stapvoets door een woonwijk gaat.
Je kan ook een inbreker zijn hersenen inslaan, dat heet ook eigen rechter spelen. Jouw voorbeeld en die van mij zijn beiden verboden in Nederland.
Zo zwart wit is het niet. Wetten zijn niet van toepassing op alle situaties. Een baby ligt met 35 graden in een auto dood te gaan, wat doe ik? De auto open breken kun je als een misdrijf zien, ik vind dit echter geen misdrijf.

Soms moet je buiten de lijntjes kleuren.
Tegenwoordig mag je een inbreker gewoon de deur uitschoppen. Zolang het maar 'gepast geweld' is.
Dat is altijd al geweest en anders kan je je beroepen op noodweerexces. Maar tegenwoordig is er meer begrip voor bij rechters als je een wapen gebruikt om je je te verdedigen, dan dat je vlucht (en terecht).
Ongelooflijk dit, je weet toch nooit of de lijst exploits volledig en correct is, en wat je wél zeker weet is dat je zo het ondergrondse systeem in stand houdt door het te financieren. Laat ze hun energie besteden aan het terughacken van deze groep ellendelingen!
Nee klopt, en daar is dit abonnement nou juist voor. Je krijgt de meest recente exploits opgestuurd, en als ze nieuwe lekken vinden en daarvoor exploits bouwen, krijg jij die dus ook opgestuurd. Dat is het voordeel van een abonnement tegenover het kopen van een 'collectie' van exploits.
Ben benieuwd of een bedrijf als Fox IT via via een abo hebben afgesloten op die "service". Op die manier blijf je wel op de hoogte van exploits die vrij gegeven gaan worden en kan je alvast aan risicobepaling gaan doen.
Volgens mij is 20.000 euro geen kattenpis, zelfs voor een bedrijf als FoxIT.

[Reactie gewijzigd door AnonymousWP op 31 mei 2017 13:04]

20k is wat dat betreft wel kattenpis voor een bedrijf als FoxIT :) Ze zetten 30mil om, en waren recent verkocht voor 135mil.

Het is ook een 20k investering om straks nog uberhaupt mee te kunnen doen omdat je dan wel de kennis hebt. Gemakkelijke keuze.
Sorry, typfoutje! Ik bedoelde "Volgens mij is 20.000 euro geen kattenpis, zelfs voor een bedrijf als FoxIT" :p.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*