×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Zerodium biedt tot half miljoen dollar voor Signal- of WhatsApp-exploits

Door , 85 reacties

Zerodium, een bedrijf dat handelt in kwetsbaarheden in software, heeft een nieuwe prijsstructuur bekendgemaakt. Het bedrijf betaalt personen nu ook voor exploits van onder meer de beveiligde chatapps Signal en WhatsApp. De maximale prijs daarvoor is een half miljoen dollar.

Het bedrijf is op zoek naar exploits die het op afstand uitvoeren van code of het verhogen van de rechten mogelijk maken. Niet alleen Signal en WhatsApp staan op de lijst van doelwitten, maar ook apps als Facebook Messenger, Telegram, iMessage, Viber en WeChat. Het kan gaan om versies voor verschillende mobiele besturingssystemen, met uitzondering van iMessage.

Daarnaast heeft het bedrijf nog andere wijzigingen doorgevoerd. Zo heeft het naast de messenger-apps een categorie voor basebandprocessors en standaard e-mailapps toegevoegd. Andere gewilde exploits zijn mogelijkheden om de sandbox van mobiele apparaten te omzeilen en manieren om kwetsbaarheden in het ss7-protocol te misbruiken.

Verder zijn er beloningen bijgekomen voor desktops en servers, zo biedt het bedrijf tot 300.000 dollar voor een exploit van Windows 10 die geen interactie van de gebruiker nodig heeft. Daarbij kan het bijvoorbeeld om een exploit van SMB gaan, zoals de NSA-variant Eternalblue. Andere doelwitten zijn Apache-webservers, e-mailclients Outlook en Thunderbird, en routers.

Zerodium biedt al langer beloningen voor exploits van kwetsbaarheden in verschillende soorten software, net als soortgelijke bedrijven. Deze kan het vervolgens doorverkopen aan bedrijven of overheden. De praktijk levert het bedrijf de nodige kritiek op, omdat die onethisch zou zijn.

Door Sander van Voorst

Nieuwsredacteur

24-08-2017 • 11:33

85 Linkedin Google+

Reacties (85)

Wijzig sortering
Dat dit kan en ze niet vervolgd worden, ongelooflijk.
Op grond waarvan zou dit dan strafbaar zijn?
Commercieel faciliteren van computervredebreuk.

Als het commercieel faciliteren van het inbreuk maken op auteursrechten strafbaar is (zie het hele kodi verhaal en de streaming kastjes) dan is het wel heel erg opmerkelijk dat het commercieel faciliteren van het inbreken in computersystemen niet strafbaar is? :)

Immers, door slechts het verkopen van een van beide (streaming kastje of exploit) is (was, in geval van de streaming kastjes nu) er is nog geen strafbaar feit gepleegd.

[Reactie gewijzigd door Glashelder op 24 augustus 2017 11:43]

Je verkoopt die exploits ook zodat overheden en bedrijven hun eigen diensten weer veilig kunnen maken. ;) Blijkt dus alleen dat ze het voor totaal andere doelen gebruiken :X .
In de praktijk blijkt het daadwerkelijke doel waarvoor iets gebruikt wordt bij gerechtelijke uitspraken nogal eens belangrijk te zijn i.t.t. waar het voor ontwikkeld of verkocht is.

Om weer even terug te vallen op de bekende kodi kastjes: die bieden slechts de mogelijkheid om illegaal te streamen maar je hoeft zeker geen gebruik te maken van die functionaliteit. Op basis daarvan zijn ze toch verboden. Natuurlijk speelt bij het kodi verhaal wel een rol dat er groots geadverteerd werd met de illegale mogelijkheden, maar de kans is groot dat ze ook verboden waren als dit niet was gebeurd simpelweg vanwege de grootschalige inbreuk.

Vergelijkbaar met dit verhaal IMO.
Dan moet een rechter dus gaan aantonen dat overheden deze exploits stelselmatig onrechtmatig gebruikt hebben (of aannemelijk maken). Heeft ook maar iemand dat ooit onder ede toegeven (kan me alleen een iPhone en de FBI herinneren)? Volgens mij wordt dit daardoor ook zo goed als onmogelijk en zeker geen vergelijkbare rechtszaak (dat het in de praktijk hetzelfde is maakt juridisch natuurlijk weinig uit als je het niet kan aantonen)
Hoewel je een heel goed punt hebt kan je je ook afvragen wat iemand anders dan de fabrikant voor ander nuttig doel kan hebben voor het kopen van dit soort exploits anders dan het binnendringen van computersystemen?

Het feit dat een dergelijke exploit te koop wordt aangeboden voor serieuze bedragen is al reden om aan te nemen dat het werkt. Dat hoef je dus niet zelf te testen als overheid - mocht dat als argument aangebracht worden.
Dat is dat ze hun eigen systeem kunnen beveiligingen tegen andere kwaadwillenden, dan is heel dat punt toch al afgevangen? Daarnaast zijn de bedragen voor een overheid niet heel serieus, zeker niet in verhouding tot het risico van een hack.
Ik heb het dus ook niet over het testen van zo'n exploit, ik heb het over hun eigen telefoons/mailclients etc beveiligen tegen deze exploit.
O.a. Nederlandse overheid koopt exploit.

En telegram/whatsapp/signal etc.. staat hoog op hun lijstje.

Remote meelezen als je alleen nummer hebt en eventueel contact lijst is voor opsporing en inlichtingen (lees repressie) goud waard... op jaar basis besparen ze miljoenen.
http://wetten.overheid.nl...de_TiteldeelV_Artikel139d

Het hebben van technische hulpmiddelen die hacken mogelijk maken is verboden.
Het hebben van technische hulpmiddelen die hacken mogelijk maken is verboden.
Lees die wet eens door:
met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c wordt gepleegd.
Het moet dus aannemelijk zijn dat men er een misdrijf mee wilt plegen. Anders zou GitHub ook illegaal zijn.

Tot zover bekend wilt Zerodium geen misdrijf plegen met de koop en verkoop van exploits. Zij weten niet of een koper een exploit onderzoekt om er een betere verdediging tegen te maken of dat deze de exploit wil misbruiken.
Ik reageer maar even op jou omdat ik blijkbaar een 'can of worms' geopend heb.

ALS het bedrijf een exploit verkoopt krijgen ze automatisch een verantwoordelijkheid in deze. Net zoals bij het kopen van een fiets voor 25.
Je zou medeplichtigheid of heling kunnen zien -als- het aannemelijk is dat de exploit daarvoor gebruikt zal gaan worden. Github is in deze niet relevant omdat het helemaal niet aannemelijk is dat iemand GitHub gebruikt om daar misdrijven mee te plegen.

Voor de rest zijn we hier geen van alle juristen. De vraag die ik beantwoordde was op welke basis Zeodium strafbaar zou kunnen zijn en ik denk dat ik die vraag afdoende heb beantwoord.
Omdat de wet spreekt van opzet, is vereist dat men zich daadwerkelijk bewust is van het strafbaar gebruik door de koper of dat men de aanmerkelijke kans neemt dat de koper dat gaat doen. Enkel dat het mgelijk strafbaar gebruikt gaat worden, geeft je nog geen opzet. Dus 'aannemelijk' is net een te lage standaard, het gaat om 'aanmerkelijk'.
Als iemand $500.000 (!) overheeft voor het kopen van een loper kun je er vergif op innemen dat daar niks legaals mee gaat gebeuren. Dit stinkt naar de misdaad (ook als een overheid daar gebruik van wil maken).
Voor de rest zijn we hier geen van alle juristen.
@Arnoud Engelfriet, ik hoor net dat jij geen jurist bent. :o
Het is beter dat hij er nu achterkomt dan dat hij nog jaren met een verkeerde veronderstelling leeft. O-)

Goed, de -meesten- hier zullen geen jurist zijn.
Je zou je nog verbazen hoeveel juristen er op Tweakers zitten. Dat terzijde, het advocatenleger van Zerodium weet echt wel wat ze doen.
Zij hopen gewoon een hoger bedrag te krijgen van de makers van de software(of misschien toch criminelen), door ze het weer door te verkopen. Dit lijkt mij, anders zie ik niet wat hun business model kan zijn. 8)7
http://wetten.overheid.nl...de_TiteldeelV_Artikel139d

Het hebben van technische hulpmiddelen die hacken mogelijk maken is verboden.
Ik betwijfel ten zeerste of kennis omtrent een exploit onder zulke middelen valt. Daarnaast zullen ze vast wel zo handig zijn om in een land te gaan zitten met niet tot nauwelijks wetgeving omtrent hacking.
En sowieso als je die text letterlijk neemt mag je geen pc hebben ha.
Een exploit valt daar niet onder, want het is geen hulpmiddel. Als het een hulpmiddel is zou het verboden zijn om bugs in je software te hebben. :+
Dat lijkt mij fijne regelgeving ;)
Dus je zou een regelgeving dat menselijke fouten niet toestaat fijn vinden? Niemand is perfect, geen enkel software is perfect, geen enkel software heeft geen bugs.
Zou wel een goed verbod zijn! :Y Maar niet erg zinvol en levensvatbaar vermoed ik. :P En al helemaal niet te handhaven. :P

[Reactie gewijzigd door Lars. op 24 augustus 2017 12:44]

En welke technische hulpmiddelen zijn dat er dan? En is het oogmerk om iets illegaal met dze hulpmiddelen te doen? Die context mis je een beetje ;)

Dus nee ze zijn niet illegaal bezig. Of 't ethisch is kan nog over gediscussieerd worden
Is bijvoorbeeld Cobalt Strike verboden dan?
Heb je nog meer van dit soort software? }>
Ja, Armitage is de gratis versie daarvan. Die zit ook standaard in Kali Linux als ik mij niet vergis.
Erg leuke software, vooral voor de wat meer visueel ingestelde mens. ;)
Sommige kunnen de CLI dromen, maar deze software pakketten visualiseren alles mooi en houdt alles mooi overzichtelijk. :)
Misschien heel raar hoor, maar ik vind de wetten daar over nogal vaag en te uitgebreid..
2 Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c wordt gepleegd:
  • a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of
  • b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, vervaardigt verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft.

[Reactie gewijzigd door Ethelind op 24 augustus 2017 11:59]

Ze zijn zo vaag omdat zo de rechter een weging kan maken. Als een wet erg specifiek was, dan is de kans dat iets wat wel strafbaar zou moeten zijn maar er buiten valt erg groot, en kan de rechter er dus geen uitspraak over doen.

Uiteindelijk zie je dan de wet keer en keer veranderd moet worden en tegelijkertijd allerlei criminelen vrijgesproken worden. Dat wil je niet.

[Reactie gewijzigd door NotCYF op 24 augustus 2017 12:23]

Dit. Overigens zijn er in sommige gevallen ook zogenaamde kapstok artikelen voor. De voor velen wel bekende art. 5 van de wegenverkeerswet is hier een van, maar er zijn nog meer. Deze kapstok artikelen vangen, naast bewust relatief ruime wetsartikelen die ruimte voor rechters laten, dingen af die niet specifiek in de wet beschreven staan maar wel strafbaar moeten zijn.
simpel was beter geweest, maar zoals we gewend zijn, moet het zo geschreven zijn, dat je een bepaalde weg moet volgen, om bepaalde dingen toch uit te kunnen voeren, of de burger op een dwaalspoor te kunnen zetten.

Simpel, Ja is strafbaar of , nee is niet strafbaar, zul je nooit horen.
dat is een Nederlandse wet... Dus waarschijnlijk kan ik mijn exploits niet verkopen. (althans, niet zonder strafbaar te zijn).

Maar er is ongetwijfeld een bananenrepubliek te vinden waar er geen specifieke wetgeving voor dit soort zaken is, en waarschijnlijk zijn er daar ook wel jongens die een centje bij willen verdienen..

(Los denk ik dat je zelfs als Nederlander tussen de mazen van de internationale wetten door nog wel zo'n tool zou kunnen verkopen op een ander platform..)
Misschien is er een verschil wat je verkoopt.
- Geschreven informatie over de bug en hoe deze kan uitgebuit worden.
- Of een hacktool die al helemaal klaar is en direct ingezet kan worden om de bug uit te buiten.
Ligt aan wat de 'hack' inhoudt. Op het moment dat ze ongerechtigd toegang krijgen tot data die niet van hun is of voor hun ogen bestemd is, is het gewoon ordinaire computervredebreuk.
Zodium koopt en verkoopt exploits. Ik neem aan dat ze ze zelf niet gebruiken.

Iets algemener:
Dat iets onethisch is, houdt niet in dat het meteen illegaal is. Als er geen wetgeving is en die is wel gewenst, dan zou men handel in exploits kunnen verbieden. Dat gaat echter niet gebeuren zolang overheden als klanten hier ook van meesnoepen. Daarnaast gaat verbieden niet veel oplossen wanneer het allemaal zwart/ondergronds wordt.

Een lastige kwestie.

[Reactie gewijzigd door The Zep Man op 24 augustus 2017 11:47]

Hoe weten ze dan dat de exploit werkt? Ik neem aan dat ze niet betalen voordat ze het getest hebben...
Hoe weten ze dan dat de exploit werkt? Ik neem aan dat ze niet betalen voordat ze het getest hebben...
Je mag altijd exploits gebruiken binnen je eigen infrastructuur. Penetration testers doen niets anders. Zo worden vaak ook nieuwe exploits gevonden.

Vergelijk het inbreken in je eigen huis, wat technisch gezien geen inbraak is omdat het huis van jou is en jij het recht hebt om binnen te komen met de sleutel of met een koevoet. Hetzelfde met computervredebreuk.

[Reactie gewijzigd door The Zep Man op 24 augustus 2017 11:53]

Tenzij de exploit van de messaging apps op de server plaats vindt.
Ik kan mij voorstellen dat een hack van Whatsapp gebaseerd zou kunnen worden op een lek in de web functionaliteit, aangezien je hiervoor contact met de server legt valt dit volgens mij niet onder eigen infrastructuur. Inbreken op je eigen account lijkt mij net zo strafbaar als dat van een ander.
Dat het contact met de server legt maakt geen verschil, dat doen alle clients. Zolang het louter manipuleren is van wat er op je toestel/pc gebeurt met je eigen account mag je ermee experimenten. Breken ze in op de servers zelf dan is dat wel strafbaar.
Wanneer je ze met toestemming van jezelf op een eigen systeem test is er niets aan de hand. :)
Wanneer je ze met toestemming van jezelf op een eigen systeem test is er niets aan de hand. :)
Ik dacht al dat ik nog iets vergeten was voor ik ging spelen met die tools... :+
Het testen op je eigen apparatuur is dan ook niet illegaal.
Zolang je op je eigen apparatuur en netwerk test is er niets aan de hand.
Dit is namelijk de standaard procedure om de beveiliging te testen.
Testen op eigen machines mag altijd.
Dan is degene die de exploit gebruikt strafbaar. Maar degene die de exploit maakt en verkoopt niet.
En er zijn ook legale toepassingen. Zie bijvoorbeeld de Nederlandse "terughack wet".
Als het nu om een tool ging waarmee je anderen in staat stelt om films te streamen, was de verkoper ook strafbaar...
Imo geen goed voorbeeld, die wet is een van de meest achterlijke relikwieen uit het Teeven-tijdperk
En hoe kan je dit controleren? Op hun mooie blauwe ogen vertrouwen?
Op grond van gezond verstand!
We hebben het over juridische zaken, gezond verstand heeft daar meestal weinig mee te maken.
Je weet bij voorbaat niet wat ze met de gevonden exploit doen, dat wordt namelijk nergens vermeld.
Dan is een half miljoen een zakcentje, vergeleken wat je ermee kan verdienen, zoals het door verkopen aan de CIA of FBI, ik noem maar wat.
Grote kans omdat er genoeg veiligheidsdiensten klanten van dit bedrijf zullen zijn.
En dat is juist ook de grootste valkuil als je je hier mee bezig houd.

Dit soort exploits zijn zo waardevol geworden dat je je leven niet altijd meer zeker bent.


Bedragen die door bedrijven worden toegekend zijn relatief laag,
partijen die ze graag willen hebben niet altijd een normale houding mbt wetten en regels.
Er zijn duizenden 'professionele' slotenkrakers, autodieven, kluizenkrakers, allemaal legaal.

De kennis (het kunnen) van het kraken is niets strafbaar, het daadwerkelijk uitvoeren dan weer wel.

Met zulke prijzen kan je mogelijk voorkomen dat iemand daadwerkelijk de kennis gaat misbruiken, maar dit gewoon verkoopt aan dit bedrijf zodat het gepatched kan worden (of eerst door CIA wordt misbruikt).
Dit is toch juist om bedrijven te helpen de zwakheden eruit te halen? Dat ze er geld voor vragen is om alles runnende te houden (aanname). Kan best begrijpen dat je eigen afdeling een andere kijk op bepaalde factoren heeft en niet alle kwaliteiten om alles dicht te timmeren. Dat er dan een bedrijf is die je benaderd en zegt dat ze je kunnen aantonen ergens naar binnen te kunnen, wat eigenlijk niet zo moeten kunnen, zou ik ze best dankbaar kunnen zijn. Achteraf ineens veel meer kosten hebben omdat het kwaad al geschiet is, lijkt me nog erger.
Ehm nee. Reken maar dat ze bij de overheid meer krijgen en die doen er tegenwoordig alles aan om ze open te houden. En ze kunnen het dan vaker verkopen. Nee, ik denk niet dat Zerodium dit doorgeeft aan de leverancier1
> Dit is toch juist om bedrijven te helpen de zwakheden eruit te halen?

Zover ik kan zien niet. Dit is meer dat je geld betaald aan dit bedrijf voor info van een zero day exploit zodat je dit kan gebruiken. Ze gaan geen dure zero day exploits opkopen om deze dan aan gratis aan bedrijven aan te bieden, en er geld voor vragen zodat het bedrijf het kan fixen komt neer op afpersing.

Zelf zou ik graag wetgeving zien die het doorverkopen van exploits wettelijk verbied (een beloning krijgen van de maker van de software moet wel kunnen), als ook wetgeving die onderzoekers verplicht gevonden exploits te melden bij de softwaremaker.

[Reactie gewijzigd door -GSF-JohnDoe op 24 augustus 2017 11:52]

zolang overheden zelf deze "diensten" afnemen zal er niks gebeuren.
Nu ja, stel dat je als hacker een exploit vindt. dan heb ik de volgende keuzes:

1. ik ga het melden bij de makers van de app, omdat ik dat verantwoord vindt.
2. ik ga het melden bij de makers van de app, misshien krijg ik een beloning voor.
3. ik ga de exploit doorgeven aan een criminele organisatie, want hier krijg ik veel geld voor
4. ik ga de exploit doorgeven aan een instantie als Zerodium, hier krijg ik een grote beloning, nog groter dan bij de makers van de app, en ik ben "verantwoord" bezig want ik verkoop het niet door aan een criminele organisatie

Ik ga voor optie 4
Deze kan het vervolgens doorverkopen aan bedrijven of overheden
Als je 'verantwoord bezig zijn' erg belangrijk vindt lijkt optie 4 toch niet echt een hele goeie.
Het lijkt me niet zo moeilijk om je als criminele organisatie voor te doen als legitiem bedrijf en zo deze exploits aan te schaffen.
Optie 1 lijkt me wat dat betreft veel beter
4+1
Alsnog zsm melden bij de makers van de app zodra het geld binnen is O-)

Waar bedrijven als Zerodium wellicth weer een stokje voor steken om iedere maand slechts 10% uit te keren tot het volledige bedrag is overgemaakt om de tijd te hebben om hun investering weer terug te verdienen.
Dan moet je voor jezelf maar bepalen na hoeveel % binnengeharkt je voor optie 1 gaat.
Doe ze dan allemaal. Gewoon melden bij zerodium terwijl je em aan een crimineel aant verkopen bent. Daarna lekker de maker een mailtje sturen met hee kijk dit eens man. Shit is kapot maar die en die partij weten het ook al dus fiks het asap.


Kassaaaa!
Maar je weet wel dat het wel doorverkocht kan gaan worden aan criminelen of terroristen, want daar maken ze geen onderscheid in. Dus je verkoopt t dan alsnog aan criminelen, alleen via een tussenpersoon. Het is natuurlijk aan jezelf om te beslissen of je daar mee kan leven.
Uhm....

OPTIE: 5 zelf exploiteren

Als je geldwolf bent die voor MAAR een halfmiljoen b.v. een whatsapp zeroday gaat verkopen en er verders niet over kunt beschikken en wel zult begrijpen dat overheden jouw 0day gaan gebruiken is het ethischer en financieel luctratiever on het zelf te exploiteren.

De bedragen die ze bieden zijn lachwekkend laag. (Wat de software fabrikanten bieden met miljarden omzet is belachelijk)

[Reactie gewijzigd door totaalgeenhard op 24 augustus 2017 18:05]

Ik zou eerst kijken wat het bedrijf zelf biedt voor je exploit voor dat je hierheen stapt.
Of niet, want dan breng je het bedrijf op de hoogte van de exploit, wordt hij misschien gefixed voordat je hem kan verkopen.
Je zegt natuurlijk niet wat de exploit precies is, dat zou inderdaad counterproductief zijn.
Maar dat moet je toch wel beetje bewijzen, anders kan iedereen wel roepen "geef me miljoenen anders..."
Zerodium kan er toch ook voor kiezen om zo een exploit door te verkopen aan een criminele organisatie?

Is het niet beter dat een overheidsinstantie beloningen uitgeeft voor exploits, dan weet je "zeker" dat het niet gebruikt wordt voor criminele activiteiten.
Overheids beloningen voor exploits?

Stap 1: Maak website
Stap 2: Maak exploits in je eigen website
Stap 3: Meld deze exploits bij de overheid
Stap 4: ???
Stap 5: Gratis geld!
Veel mensen zullen de overheid in deze ook als criminele organisatie zien die dit soort exploits misbruikt.
Echt belachelijk dat dit soort diensten bestaan, beveiligingsbedrijven zoals Fox-IT en onze eigen overheden maken er maar graag gebruik van. Onze overheid zou juist hun burgers moeten beschermen door exploits en zerodays zsm te laten repareren maar ze bewaren ze liever voor eigen gebruik.

Dit gaat niet om een inbeslag genomen telefoon te ontcijferen maar om remote code execution en persistente remote root/jailbreaks.

We leveren steeds meer vrijheid in en krijgen er amper bescherming voor terug.

[Reactie gewijzigd door GrooV op 24 augustus 2017 11:43]

Kan er geen internationale wetgeving komen, die dit soort bedrijven gewoon verbied?
Ik weet ook wel da.t alles dan underground gaat, maar gewoon als bevestiging van overheden, dat dit onwenselijke bezigheden zijn. En als de overheid het dan zelf gebruikt om gegevens te achterhalen, dan is dat via onwettig bewijs verkregen.
(Knijper1962 keeps on dreaming)
Bij meerderheid van een parlement kan je een wet maken die *iets* verbiedt, tenzij in strijd met reeds bestaande wetgeving of richtlijn (EU).
Onrechtmatig verkregen bewijs is iets in strafzaken als ze de parallelle constructie (https://en.wikipedia.org/wiki/Parallel_construction) niet rondkrijgen. Voor inlichtingendiensten speelt dat helemaal niet.
Opvallend dat de Apple IOS jailbreak zoveel hoger zijn in prijs in vergelijking met de overige exploits.
“Tot” een half miljoen. Dus je weet t nooit zeker. Misschien heb je wel een mega lek, geef je t aan ze en zeggen ze “500 lijkt ons wel redelijk”. ;)

Ik zou het niet verkopen aan ze, dan weet je nooit of t terecht komt bij de makers of bij louche/gevaarlijke organisaties. WhatsApp zal ook heel veel geld bieden als je een werkelijk grote exploit weet te vinden, en als dat in Signal Protocol blijkt te zitten dan zullen ze er wss extra voor betalen en de boel laten fixen door Moxie. Twee vliegen in n klap en dik knaken verdienen. Hoef je geen risico’s te nemen via derde partijen.

Idem dito voor anderen op die lijst, een aantal hebben gewoon duidelijk een RD-policy en bieden tien tot honderdduizenden euro’s voor werkende exploits... Ik zie niet in waarom je dan risico zou gaan lopen via een andere toko, tenzij DE KANS (nul garantie) op misschien iets meer geld krijgen je meer aanspreekt dan een veiliger internet en dienstverlening te creren voor iedereen.
Wat is er voor risico dat jij loopt, als zerodium meer betaald en je kunt dus altijd ook nog aan de andere verkopen. tja, als jij het niet doet is een ander je misschien voor. Vraag is natuurlijk wel wat voor voorwaarden er aan zitten om het geld te krijgen, waarschijnlijk zal wel 1 van de voorwaarden zijn dat je de exploit niet aan andere verkoopt.
Grappig om te zien dat deze handel in zero days nu "boven de tafel" gebeurt.
De beloningen zijn wel hoger dan ik me kan herinneren. Maar goed, sinds stuxnet is er ook zo goed als onbeperkt budget;)

Ik weet nog dat toen alleen Skype nog goed versleuteld was er ook een beloning werd uitgeloofd om de encryptie te kraken. Die beloning was iets van 3 miljard dollar!
Heel toevallig is Skype toen via eBay voor een soortgelijk bedrag verkocht.
Ook toevallig dat Skype nu niet meer gebruikt wordt voor priv gesprekken;)

Dat groeiende gebrek aan privacy gaat uiteindelijk zorgen voor een gebrek aan innovatie. Als je niet vrij kan denken en communiceren gaat je creativiteit omlaag. En dat kan echt de ondergang van het westen worden.
Innoveert de bevolking van noord Korea of vroeger de USSR? Ik zie in landen zonder privacy alleen verdoofde geesten...
Nog voor de verkoop door eBay was Project Chess flink aan de gang en waren er backdoors ingebouwd. Na 2011 toen Microsoft ermee aan de haal ging is het ook allemaal te decrypten door hen. Dus helaas was t voor die verkoop al mis.
Ik lees net dat project chess begonnen is onder het beheer van eBay.
De oorspronkelijke makers van Skype hebben naar mijn weten nooit meegewerkt aan het afluisteren van haar gebruikers. Integendeel, anders was er ook geen beloning van miljarden.

Het was een Zweeds bedrijf geloof ik. De Scandinavische landen respecteren privacy gelukkig nog. Veel hosting bedrijven geloven daar ook nog in vrijheid.
De media daar zit ook niet vol met bangmakerij zoals hier. Toen wij nog niet bang werden gemaakt hoefde je hier ook niet aan te komen met snuffelen in ons priv leven.
Dat gedrag hoorde bij de toenmalige tegenstanders (stasi/kgb).

[Reactie gewijzigd door sn34ky op 24 augustus 2017 20:59]

Zou mij niets verbazen als dit gewoon een frontend is voor de NSA. Als ik de NSA was, zou ik me in dit soort bedrijven verdiepen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*