Zerodium biedt tot half miljoen dollar voor Signal- of WhatsApp-exploits

Zerodium, een bedrijf dat handelt in kwetsbaarheden in software, heeft een nieuwe prijsstructuur bekendgemaakt. Het bedrijf betaalt personen nu ook voor exploits van onder meer de beveiligde chatapps Signal en WhatsApp. De maximale prijs daarvoor is een half miljoen dollar.

Het bedrijf is op zoek naar exploits die het op afstand uitvoeren van code of het verhogen van de rechten mogelijk maken. Niet alleen Signal en WhatsApp staan op de lijst van doelwitten, maar ook apps als Facebook Messenger, Telegram, iMessage, Viber en WeChat. Het kan gaan om versies voor verschillende mobiele besturingssystemen, met uitzondering van iMessage.

Daarnaast heeft het bedrijf nog andere wijzigingen doorgevoerd. Zo heeft het naast de messenger-apps een categorie voor basebandprocessors en standaard e-mailapps toegevoegd. Andere gewilde exploits zijn mogelijkheden om de sandbox van mobiele apparaten te omzeilen en manieren om kwetsbaarheden in het ss7-protocol te misbruiken.

Verder zijn er beloningen bijgekomen voor desktops en servers, zo biedt het bedrijf tot 300.000 dollar voor een exploit van Windows 10 die geen interactie van de gebruiker nodig heeft. Daarbij kan het bijvoorbeeld om een exploit van SMB gaan, zoals de NSA-variant Eternalblue. Andere doelwitten zijn Apache-webservers, e-mailclients Outlook en Thunderbird, en routers.

Zerodium biedt al langer beloningen voor exploits van kwetsbaarheden in verschillende soorten software, net als soortgelijke bedrijven. Deze kan het vervolgens doorverkopen aan bedrijven of overheden. De praktijk levert het bedrijf de nodige kritiek op, omdat die onethisch zou zijn.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 24-08-2017 11:3385

24-08-2017 • 11:33

85 Linkedin

Lees meer

Zerodium-prijs Android-bug is met 2,5 miljoen dollar voor eerst hoger dan iOS Nieuws van 5 september 2019
'WhatsApp dicht lek dat leidde tot crash na ontvangen van oproep' Nieuws van 10 oktober 2018
Beveiligingsonderzoekers demonstreren spoofingkwetsbaarheden in WhatsApp Nieuws van 8 augustus 2018
Bedrijf biedt tot drie miljoen dollar voor zero-days in Android of iOS Nieuws van 27 april 2018
Nieuwe Signal-stichting krijgt 50 miljoen dollar van WhatsApp-medeoprichter Nieuws van 22 februari 2018
Aanvaller met controle over WhatsApp-server kan leden toevoegen aan groep Nieuws van 10 januari 2018
WeChat gaat functioneren als officieel persoonsidentificatiemiddel in China Nieuws van 30 december 2017
Signal test privacyvriendelijk vinden van contacten met feature van Intel-cpu's Nieuws van 27 september 2017
Signal breidt bèta van chat-app uit met profielen Nieuws van 7 september 2017
Geavanceerde iPhone-malware Pegasus blijkt Android-versie te hebben Nieuws van 4 april 2017
Securitybedrijven ontdekken drie zero days in iOS die actief werden misbruikt Nieuws van 25 augustus 2016
Bedrijf biedt tot 500.000 dollar beloning voor iOS 9.3-zero days Nieuws van 10 augustus 2016
Hacker biedt Windows-zero-day voor 90.000 dollar op forum te koop aan Nieuws van 31 mei 2016
'FBI betaalde meer dan 1,34 miljoen dollar voor unlocktool iPhone 5c' Nieuws van 21 april 2016
'NSA koopt voor 25 miljoen dollar software-kwetsbaarheden' Nieuws van 31 augustus 2013
Meer producten en artikelen
Netwerk en systeembeheer Security Signal Whatsapp

Reacties (85)

-Moderatie-faq
85
84
35
4
0
44
Wijzig sortering
Anoniem: 959069
24 augustus 2017 11:34
Dat dit kan en ze niet vervolgd worden, ongelooflijk.
Morgan4321
@Anoniem: 95906924 augustus 2017 11:36
Op grond waarvan zou dit dan strafbaar zijn?
Glashelder
@Morgan432124 augustus 2017 11:42
Commercieel faciliteren van computervredebreuk.

Als het commercieel faciliteren van het inbreuk maken op auteursrechten strafbaar is (zie het hele kodi verhaal en de streaming kastjes) dan is het wel heel erg opmerkelijk dat het commercieel faciliteren van het inbreken in computersystemen niet strafbaar is? :)

Immers, door slechts het verkopen van een van beide (streaming kastje of exploit) is (was, in geval van de streaming kastjes nu) er is nog geen strafbaar feit gepleegd.

[Reactie gewijzigd door Glashelder op 24 augustus 2017 11:43]

Anoniem: 304028
@Glashelder24 augustus 2017 11:48
Je verkoopt die exploits ook zodat overheden en bedrijven hun eigen diensten weer veilig kunnen maken. ;) Blijkt dus alleen dat ze het voor totaal andere doelen gebruiken :X .
Glashelder
@Anoniem: 30402824 augustus 2017 11:53
In de praktijk blijkt het daadwerkelijke doel waarvoor iets gebruikt wordt bij gerechtelijke uitspraken nogal eens belangrijk te zijn i.t.t. waar het voor ontwikkeld of verkocht is.

Om weer even terug te vallen op de bekende kodi kastjes: die bieden slechts de mogelijkheid om illegaal te streamen maar je hoeft zeker geen gebruik te maken van die functionaliteit. Op basis daarvan zijn ze toch verboden. Natuurlijk speelt bij het kodi verhaal wel een rol dat er groots geadverteerd werd met de illegale mogelijkheden, maar de kans is groot dat ze ook verboden waren als dit niet was gebeurd simpelweg vanwege de grootschalige inbreuk.

Vergelijkbaar met dit verhaal IMO.
Anoniem: 304028
@Glashelder24 augustus 2017 11:58
Dan moet een rechter dus gaan aantonen dat overheden deze exploits stelselmatig onrechtmatig gebruikt hebben (of aannemelijk maken). Heeft ook maar iemand dat ooit onder ede toegeven (kan me alleen een iPhone en de FBI herinneren)? Volgens mij wordt dit daardoor ook zo goed als onmogelijk en zeker geen vergelijkbare rechtszaak (dat het in de praktijk hetzelfde is maakt juridisch natuurlijk weinig uit als je het niet kan aantonen)
Glashelder
@Anoniem: 30402824 augustus 2017 12:02
Hoewel je een heel goed punt hebt kan je je ook afvragen wat iemand anders dan de fabrikant voor ander nuttig doel kan hebben voor het kopen van dit soort exploits anders dan het binnendringen van computersystemen?

Het feit dat een dergelijke exploit te koop wordt aangeboden voor serieuze bedragen is al reden om aan te nemen dat het werkt. Dat hoef je dus niet zelf te testen als overheid - mocht dat als argument aangebracht worden.
Anoniem: 304028
@Glashelder24 augustus 2017 12:06
Dat is dat ze hun eigen systeem kunnen beveiligingen tegen andere kwaadwillenden, dan is heel dat punt toch al afgevangen? Daarnaast zijn de bedragen voor een overheid niet heel serieus, zeker niet in verhouding tot het risico van een hack.
Ik heb het dus ook niet over het testen van zo'n exploit, ik heb het over hun eigen telefoons/mailclients etc beveiligen tegen deze exploit.
totaalgeenhard
@Glashelder24 augustus 2017 18:08
O.a. Nederlandse overheid koopt exploit.

En telegram/whatsapp/signal etc.. staat hoog op hun lijstje.

Remote meelezen als je alleen nummer hebt en eventueel contact lijst is voor opsporing en inlichtingen (lees repressie) goud waard... op jaar basis besparen ze miljoenen.
Anoniem: 867213
@Morgan432124 augustus 2017 11:42
http://wetten.overheid.nl...de_TiteldeelV_Artikel139d

Het hebben van technische hulpmiddelen die hacken mogelijk maken is verboden.
The Zep Man
@Anoniem: 86721324 augustus 2017 11:49
Het hebben van technische hulpmiddelen die hacken mogelijk maken is verboden.
Lees die wet eens door:
met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c wordt gepleegd.
Het moet dus aannemelijk zijn dat men er een misdrijf mee wilt plegen. Anders zou GitHub ook illegaal zijn.

Tot zover bekend wilt Zerodium geen misdrijf plegen met de koop en verkoop van exploits. Zij weten niet of een koper een exploit onderzoekt om er een betere verdediging tegen te maken of dat deze de exploit wil misbruiken.
Anoniem: 867213
@The Zep Man24 augustus 2017 12:05
Ik reageer maar even op jou omdat ik blijkbaar een 'can of worms' geopend heb.

ALS het bedrijf een exploit verkoopt krijgen ze automatisch een verantwoordelijkheid in deze. Net zoals bij het kopen van een fiets voor €25.
Je zou medeplichtigheid of heling kunnen zien -als- het aannemelijk is dat de exploit daarvoor gebruikt zal gaan worden. Github is in deze niet relevant omdat het helemaal niet aannemelijk is dat iemand GitHub gebruikt om daar misdrijven mee te plegen.

Voor de rest zijn we hier geen van alle juristen. De vraag die ik beantwoordde was op welke basis Zeodium strafbaar zou kunnen zijn en ik denk dat ik die vraag afdoende heb beantwoord.
Arnoud Engelfriet
@Anoniem: 86721324 augustus 2017 15:03
Omdat de wet spreekt van opzet, is vereist dat men zich daadwerkelijk bewust is van het strafbaar gebruik door de koper of dat men de aanmerkelijke kans neemt dat de koper dat gaat doen. Enkel dat het mógelijk strafbaar gebruikt gaat worden, geeft je nog geen opzet. Dus 'aannemelijk' is net een te lage standaard, het gaat om 'aanmerkelijk'.
janbaarda
@Arnoud Engelfriet25 augustus 2017 04:35
Als iemand $500.000 (!) overheeft voor het kopen van een loper kun je er vergif op innemen dat daar niks legaals mee gaat gebeuren. Dit stinkt naar de misdaad (ook als een overheid daar gebruik van wil maken).
The Zep Man
@Anoniem: 86721324 augustus 2017 12:25
Voor de rest zijn we hier geen van alle juristen.
@Arnoud Engelfriet, ik hoor net dat jij geen jurist bent. :o
Anoniem: 867213
@The Zep Man24 augustus 2017 12:54
Het is beter dat hij er nu achterkomt dan dat hij nog jaren met een verkeerde veronderstelling leeft. O-)

Goed, de -meesten- hier zullen geen jurist zijn.
Endless_Death
@Anoniem: 86721324 augustus 2017 12:14
Je zou je nog verbazen hoeveel juristen er op Tweakers zitten. Dat terzijde, het advocatenleger van Zerodium weet echt wel wat ze doen.
MrFax
@The Zep Man24 augustus 2017 12:17
Zij hopen gewoon een hoger bedrag te krijgen van de makers van de software(of misschien toch criminelen), door ze het weer door te verkopen. Dit lijkt mij, anders zie ik niet wat hun business model kan zijn. 8)7
Anoniem: 304028
@Anoniem: 86721324 augustus 2017 11:47
http://wetten.overheid.nl...de_TiteldeelV_Artikel139d

Het hebben van technische hulpmiddelen die hacken mogelijk maken is verboden.
Ik betwijfel ten zeerste of kennis omtrent een exploit onder zulke middelen valt. Daarnaast zullen ze vast wel zo handig zijn om in een land te gaan zitten met niet tot nauwelijks wetgeving omtrent hacking.
Endless_Death
@Anoniem: 30402824 augustus 2017 15:56
En sowieso als je die text letterlijk neemt mag je geen pc hebben ha.
MrFax
@Anoniem: 30402824 augustus 2017 12:17
Een exploit valt daar niet onder, want het is geen hulpmiddel. Als het een hulpmiddel is zou het verboden zijn om bugs in je software te hebben. :+
Anoniem: 304028
@MrFax24 augustus 2017 12:20
Dat lijkt mij fijne regelgeving ;)
MrFax
@Anoniem: 30402825 augustus 2017 20:57
Dus je zou een regelgeving dat menselijke fouten niet toestaat fijn vinden? Niemand is perfect, geen enkel software is perfect, geen enkel software heeft geen bugs.
Anoniem: 483276
@MrFax24 augustus 2017 12:44
Zou wel een goed verbod zijn! :Y Maar niet erg zinvol en levensvatbaar vermoed ik. :P En al helemaal niet te handhaven. :P

[Reactie gewijzigd door Anoniem: 483276 op 24 augustus 2017 12:44]

Praetextatus
@Anoniem: 86721324 augustus 2017 11:50
En welke technische hulpmiddelen zijn dat er dan? En is het oogmerk om iets illegaal met dze hulpmiddelen te doen? Die context mis je een beetje ;)

Dus nee ze zijn niet illegaal bezig. Of 't ethisch is kan nog over gediscussieerd worden
dehardstyler
@Anoniem: 86721324 augustus 2017 11:51
Is bijvoorbeeld Cobalt Strike verboden dan?
Emin3m
@dehardstyler24 augustus 2017 14:08
Heb je nog meer van dit soort software? }>
dehardstyler
@Emin3m24 augustus 2017 14:14
Ja, Armitage is de gratis versie daarvan. Die zit ook standaard in Kali Linux als ik mij niet vergis.
Erg leuke software, vooral voor de wat meer visueel ingestelde mens. ;)
Sommige kunnen de CLI dromen, maar deze software pakketten visualiseren alles mooi en houdt alles mooi overzichtelijk. :)
Ethelind
@Anoniem: 86721324 augustus 2017 11:58
Misschien heel raar hoor, maar ik vind de wetten daar over nogal vaag en te uitgebreid..
2 Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c wordt gepleegd:
  • a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of
  • b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, vervaardigt verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft.

[Reactie gewijzigd door Ethelind op 24 augustus 2017 11:59]

MrFax
@Ethelind24 augustus 2017 12:23
Ze zijn zo vaag omdat zo de rechter een weging kan maken. Als een wet erg specifiek was, dan is de kans dat iets wat wel strafbaar zou moeten zijn maar er buiten valt erg groot, en kan de rechter er dus geen uitspraak over doen.

Uiteindelijk zie je dan de wet keer en keer veranderd moet worden en tegelijkertijd allerlei criminelen vrijgesproken worden. Dat wil je niet.

[Reactie gewijzigd door MrFax op 24 augustus 2017 12:23]

Anoniem: 483276
@MrFax24 augustus 2017 12:48
Dit. Overigens zijn er in sommige gevallen ook zogenaamde kapstok artikelen voor. De voor velen wel bekende art. 5 van de wegenverkeerswet is hier een van, maar er zijn nog meer. Deze kapstok artikelen vangen, naast bewust relatief ruime wetsartikelen die ruimte voor rechters laten, dingen af die niet specifiek in de wet beschreven staan maar wel strafbaar moeten zijn.
Anoniem: 961019
@Ethelind24 augustus 2017 13:57
simpel was beter geweest, maar zoals we gewend zijn, moet het zo geschreven zijn, dat je een bepaalde weg moet volgen, om bepaalde dingen toch uit te kunnen voeren, of de burger op een dwaalspoor te kunnen zetten.

Simpel, Ja is strafbaar of , nee is niet strafbaar, zul je nooit horen.
THW Mark
@Anoniem: 86721324 augustus 2017 12:04
dat is een Nederlandse wet... Dus waarschijnlijk kan ik mijn exploits niet verkopen. (althans, niet zonder strafbaar te zijn).

Maar er is ongetwijfeld een bananenrepubliek te vinden waar er geen specifieke wetgeving voor dit soort zaken is, en waarschijnlijk zijn er daar ook wel jongens die een centje bij willen verdienen..

(Los denk ik dat je zelfs als Nederlander tussen de mazen van de internationale wetten door nog wel zo'n tool zou kunnen verkopen op een ander platform..)
biglia
@Anoniem: 86721324 augustus 2017 12:24
Misschien is er een verschil wat je verkoopt.
- Geschreven informatie over de bug en hoe deze kan uitgebuit worden.
- Of een hacktool die al helemaal klaar is en direct ingezet kan worden om de bug uit te buiten.
Travelan
@Morgan432124 augustus 2017 11:39
Ligt aan wat de 'hack' inhoudt. Op het moment dat ze ongerechtigd toegang krijgen tot data die niet van hun is of voor hun ogen bestemd is, is het gewoon ordinaire computervredebreuk.
The Zep Man
@Travelan24 augustus 2017 11:44
Zodium koopt en verkoopt exploits. Ik neem aan dat ze ze zelf niet gebruiken.

Iets algemener:
Dat iets onethisch is, houdt niet in dat het meteen illegaal is. Als er geen wetgeving is en die is wel gewenst, dan zou men handel in exploits kunnen verbieden. Dat gaat echter niet gebeuren zolang overheden als klanten hier ook van meesnoepen. Daarnaast gaat verbieden niet veel oplossen wanneer het allemaal zwart/ondergronds wordt.

Een lastige kwestie.

[Reactie gewijzigd door The Zep Man op 24 augustus 2017 11:47]

veltnet
@The Zep Man24 augustus 2017 11:48
Hoe weten ze dan dat de exploit werkt? Ik neem aan dat ze niet betalen voordat ze het getest hebben...
The Zep Man
@veltnet24 augustus 2017 11:51
Hoe weten ze dan dat de exploit werkt? Ik neem aan dat ze niet betalen voordat ze het getest hebben...
Je mag altijd exploits gebruiken binnen je eigen infrastructuur. Penetration testers doen niets anders. Zo worden vaak ook nieuwe exploits gevonden.

Vergelijk het inbreken in je eigen huis, wat technisch gezien geen inbraak is omdat het huis van jou is en jij het recht hebt om binnen te komen met de sleutel of met een koevoet. Hetzelfde met computervredebreuk.

[Reactie gewijzigd door The Zep Man op 24 augustus 2017 11:53]

erik23
@The Zep Man24 augustus 2017 13:16
Tenzij de exploit van de messaging apps op de server plaats vindt.
Ik kan mij voorstellen dat een hack van Whatsapp gebaseerd zou kunnen worden op een lek in de web functionaliteit, aangezien je hiervoor contact met de server legt valt dit volgens mij niet onder eigen infrastructuur. Inbreken op je eigen account lijkt mij net zo strafbaar als dat van een ander.
WhatsappHack
@erik2324 augustus 2017 13:21
Dat het contact met de server legt maakt geen verschil, dat doen alle clients. Zolang het louter manipuleren is van wat er op je toestel/pc gebeurt met je eigen account mag je ermee experimenten. Breken ze in op de servers zelf dan is dat wel strafbaar.
CivLord
@veltnet24 augustus 2017 11:53
Wanneer je ze met toestemming van jezelf op een eigen systeem test is er niets aan de hand. :)
aikebah
@CivLord24 augustus 2017 18:28
Wanneer je ze met toestemming van jezelf op een eigen systeem test is er niets aan de hand. :)
Ik dacht al dat ik nog iets vergeten was voor ik ging spelen met die tools... :+
freaxje
@veltnet24 augustus 2017 11:52
Het testen op je eigen apparatuur is dan ook niet illegaal.
Z80
@veltnet24 augustus 2017 12:02
Zolang je op je eigen apparatuur en netwerk test is er niets aan de hand.
Dit is namelijk de standaard procedure om de beveiliging te testen.
Boender
@veltnet24 augustus 2017 12:04
Testen op eigen machines mag altijd.
RocketKoen
@Travelan24 augustus 2017 11:42
Dan is degene die de exploit gebruikt strafbaar. Maar degene die de exploit maakt en verkoopt niet.
En er zijn ook legale toepassingen. Zie bijvoorbeeld de Nederlandse "terughack wet".
JAVE
@RocketKoen24 augustus 2017 13:40
Als het nu om een tool ging waarmee je anderen in staat stelt om films te streamen, was de verkoper ook strafbaar...
Origin64
@RocketKoen24 augustus 2017 11:43
Imo geen goed voorbeeld, die wet is een van de meest achterlijke relikwieen uit het Teeven-tijdperk
aliberto
@Travelan24 augustus 2017 12:00
En hoe kan je dit controleren? Op hun mooie blauwe ogen vertrouwen?
Armo
@Morgan432124 augustus 2017 11:42
Op grond van gezond verstand!
Morgan4321
@Armo24 augustus 2017 11:44
We hebben het over juridische zaken, gezond verstand heeft daar meestal weinig mee te maken.
Anoniem: 961019
@Morgan432124 augustus 2017 13:48
Je weet bij voorbaat niet wat ze met de gevonden exploit doen, dat wordt namelijk nergens vermeld.
Dan is een half miljoen een zakcentje, vergeleken wat je ermee kan verdienen, zoals het door verkopen aan de CIA of FBI, ik noem maar wat.
mwa
@Anoniem: 95906924 augustus 2017 11:36
Grote kans omdat er genoeg veiligheidsdiensten klanten van dit bedrijf zullen zijn.
Iblies
@mwa24 augustus 2017 14:08
En dat is juist ook de grootste valkuil als je je hier mee bezig houd.

Dit soort exploits zijn zo waardevol geworden dat je je leven niet altijd meer zeker bent.


Bedragen die door bedrijven worden toegekend zijn relatief laag,
partijen die ze graag willen hebben niet altijd een normale houding mbt wetten en regels.
SinergyX
@Anoniem: 95906924 augustus 2017 11:42
Er zijn duizenden 'professionele' slotenkrakers, autodieven, kluizenkrakers, allemaal legaal.

De kennis (het kunnen) van het kraken is niets strafbaar, het daadwerkelijk uitvoeren dan weer wel.

Met zulke prijzen kan je mogelijk voorkomen dat iemand daadwerkelijk de kennis gaat misbruiken, maar dit gewoon verkoopt aan dit bedrijf zodat het gepatched kan worden (of eerst door CIA wordt misbruikt).
Pettertje
@Anoniem: 95906924 augustus 2017 11:40
Dit is toch juist om bedrijven te helpen de zwakheden eruit te halen? Dat ze er geld voor vragen is om alles runnende te houden (aanname). Kan best begrijpen dat je eigen afdeling een andere kijk op bepaalde factoren heeft en niet alle kwaliteiten om alles dicht te timmeren. Dat er dan een bedrijf is die je benaderd en zegt dat ze je kunnen aantonen ergens naar binnen te kunnen, wat eigenlijk niet zo moeten kunnen, zou ik ze best dankbaar kunnen zijn. Achteraf ineens veel meer kosten hebben omdat het kwaad al geschiet is, lijkt me nog erger.
dehardstyler
@Pettertje24 augustus 2017 11:44
Ehm nee. Reken maar dat ze bij de overheid meer krijgen en die doen er tegenwoordig alles aan om ze open te houden. En ze kunnen het dan vaker verkopen. Nee, ik denk niet dat Zerodium dit doorgeeft aan de leverancier1
-GSF-JohnDoe
@Pettertje24 augustus 2017 11:50
> Dit is toch juist om bedrijven te helpen de zwakheden eruit te halen?

Zover ik kan zien niet. Dit is meer dat je geld betaald aan dit bedrijf voor info van een zero day exploit zodat je dit kan gebruiken. Ze gaan geen dure zero day exploits opkopen om deze dan aan gratis aan bedrijven aan te bieden, en er geld voor vragen zodat het bedrijf het kan fixen komt neer op afpersing.

Zelf zou ik graag wetgeving zien die het doorverkopen van exploits wettelijk verbied (een beloning krijgen van de maker van de software moet wel kunnen), als ook wetgeving die onderzoekers verplicht gevonden exploits te melden bij de softwaremaker.

[Reactie gewijzigd door -GSF-JohnDoe op 24 augustus 2017 11:52]

flippy
@Anoniem: 95906924 augustus 2017 12:17
zolang overheden zelf deze "diensten" afnemen zal er niks gebeuren.
Shashisukhai
24 augustus 2017 11:54
Nu ja, stel dat je als hacker een exploit vindt. dan heb ik de volgende keuzes:

1. ik ga het melden bij de makers van de app, omdat ik dat verantwoord vindt.
2. ik ga het melden bij de makers van de app, misshien krijg ik een beloning voor.
3. ik ga de exploit doorgeven aan een criminele organisatie, want hier krijg ik veel geld voor
4. ik ga de exploit doorgeven aan een instantie als Zerodium, hier krijg ik een grote beloning, nog groter dan bij de makers van de app, en ik ben "verantwoord" bezig want ik verkoop het niet door aan een criminele organisatie

Ik ga voor optie 4
Vexxon
@Shashisukhai24 augustus 2017 12:27
Deze kan het vervolgens doorverkopen aan bedrijven of overheden
Als je 'verantwoord bezig zijn' erg belangrijk vindt lijkt optie 4 toch niet echt een hele goeie.
Het lijkt me niet zo moeilijk om je als criminele organisatie voor te doen als legitiem bedrijf en zo deze exploits aan te schaffen.
Optie 1 lijkt me wat dat betreft veel beter
ta_chi79
@Shashisukhai24 augustus 2017 12:57
4+1
Alsnog zsm melden bij de makers van de app zodra het geld binnen is O-)

Waar bedrijven als Zerodium wellicth weer een stokje voor steken om iedere maand slechts 10% uit te keren tot het volledige bedrag is overgemaakt om de tijd te hebben om hun investering weer terug te verdienen.
Dan moet je voor jezelf maar bepalen na hoeveel % binnengeharkt je voor optie 1 gaat.
supersnathan94
@ta_chi7924 augustus 2017 19:09
Doe ze dan allemaal. Gewoon melden bij zerodium terwijl je em aan een crimineel aant verkopen bent. Daarna lekker de maker een mailtje sturen met hee kijk dit eens man. Shit is kapot maar die en die partij weten het ook al dus fiks het asap.


Kassaaaa!
WhatsappHack
@Shashisukhai24 augustus 2017 13:26
Maar je weet wel dat het wel doorverkocht kan gaan worden aan criminelen of terroristen, want daar maken ze geen onderscheid in. Dus je verkoopt t dan alsnog aan criminelen, alleen via een tussenpersoon. Het is natuurlijk aan jezelf om te beslissen of je daar mee kan leven.
totaalgeenhard
@Shashisukhai24 augustus 2017 18:04
Uhm....

OPTIE: 5 zelf exploiteren

Als je geldwolf bent die voor MAAR een halfmiljoen b.v. een whatsapp zeroday gaat verkopen en er verders niet over kunt beschikken en wel zult begrijpen dat overheden jouw 0day gaan gebruiken is het ethischer en financieel luctratiever on het zelf te exploiteren.

De bedragen die ze bieden zijn lachwekkend laag. (Wat de software fabrikanten bieden met miljarden omzet is belachelijk)

[Reactie gewijzigd door totaalgeenhard op 24 augustus 2017 18:05]

Black.Knight
@totaalgeenhard24 augustus 2017 20:13
:Y)
Randomguy369
24 augustus 2017 11:36
Ik zou eerst kijken wat het bedrijf zelf biedt voor je exploit voor dat je hierheen stapt.
Zoop
@Randomguy36924 augustus 2017 11:40
Of niet, want dan breng je het bedrijf op de hoogte van de exploit, wordt hij misschien gefixed voordat je hem kan verkopen.
StrongArmLance
@Zoop24 augustus 2017 11:44
Je zegt natuurlijk niet wat de exploit precies is, dat zou inderdaad counterproductief zijn.
Zoop
@StrongArmLance24 augustus 2017 11:53
Maar dat moet je toch wel beetje bewijzen, anders kan iedereen wel roepen "geef me miljoenen anders..."
Shashisukhai
24 augustus 2017 11:38
Zerodium kan er toch ook voor kiezen om zo een exploit door te verkopen aan een criminele organisatie?

Is het niet beter dat een overheidsinstantie beloningen uitgeeft voor exploits, dan weet je "zeker" dat het niet gebruikt wordt voor criminele activiteiten.
xdizzy12
@Shashisukhai24 augustus 2017 11:45
Overheids beloningen voor exploits?

Stap 1: Maak website
Stap 2: Maak exploits in je eigen website
Stap 3: Meld deze exploits bij de overheid
Stap 4: ???
Stap 5: Gratis geld!
Morgan4321
@Shashisukhai24 augustus 2017 11:45
Veel mensen zullen de overheid in deze ook als criminele organisatie zien die dit soort exploits misbruikt.
GrooV
24 augustus 2017 11:38
Echt belachelijk dat dit soort diensten bestaan, beveiligingsbedrijven zoals Fox-IT en onze eigen overheden maken er maar graag gebruik van. Onze overheid zou juist hun burgers moeten beschermen door exploits en zerodays zsm te laten repareren maar ze bewaren ze liever voor eigen gebruik.

Dit gaat niet om een inbeslag genomen telefoon te ontcijferen maar om remote code execution en persistente remote root/jailbreaks.

We leveren steeds meer vrijheid in en krijgen er amper bescherming voor terug.

[Reactie gewijzigd door GrooV op 24 augustus 2017 11:43]

Knijper1962
24 augustus 2017 11:39
Kan er geen internationale wetgeving komen, die dit soort bedrijven gewoon verbied?
Ik weet ook wel da.t alles dan underground gaat, maar gewoon als bevestiging van overheden, dat dit onwenselijke bezigheden zijn. En als de overheid het dan zelf gebruikt om gegevens te achterhalen, dan is dat via onwettig bewijs verkregen.
(Knijper1962 keeps on dreaming)
mocean
@Knijper196224 augustus 2017 11:46
Bij meerderheid van een parlement kan je een wet maken die *iets* verbiedt, tenzij in strijd met reeds bestaande wetgeving of richtlijn (EU).
Morgan4321
@Knijper196224 augustus 2017 11:47
Onrechtmatig verkregen bewijs is iets in strafzaken als ze de parallelle constructie (https://en.wikipedia.org/wiki/Parallel_construction) niet rondkrijgen. Voor inlichtingendiensten speelt dat helemaal niet.
Vexxon
24 augustus 2017 12:08
Opvallend dat de Apple IOS jailbreak zoveel hoger zijn in prijs in vergelijking met de overige exploits.
WhatsappHack
24 augustus 2017 13:31
“Tot” een half miljoen. Dus je weet t nooit zeker. Misschien heb je wel een mega lek, geef je t aan ze en zeggen ze “€500 lijkt ons wel redelijk”. ;)

Ik zou het niet verkopen aan ze, dan weet je nooit of t terecht komt bij de makers of bij louche/gevaarlijke organisaties. WhatsApp zal ook heel veel geld bieden als je een werkelijk grote exploit weet te vinden, en als dat in Signal Protocol blijkt te zitten dan zullen ze er wss extra voor betalen en de boel laten fixen door Moxie. Twee vliegen in één klap en dik knaken verdienen. Hoef je geen risico’s te nemen via derde partijen.

Idem dito voor anderen op die lijst, een aantal hebben gewoon duidelijk een RD-policy en bieden tien tot honderdduizenden euro’s voor werkende exploits... Ik zie niet in waarom je dan risico zou gaan lopen via een andere toko, tenzij DE KANS (nul garantie) op misschien iets meer geld krijgen je meer aanspreekt dan een veiliger internet en dienstverlening te creëren voor iedereen.
SuperDre
@WhatsappHack24 augustus 2017 13:47
Wat is er voor risico dat jij loopt, als zerodium meer betaald en je kunt dus altijd ook nog aan de andere verkopen. tja, als jij het niet doet is een ander je misschien voor. Vraag is natuurlijk wel wat voor voorwaarden er aan zitten om het geld te krijgen, waarschijnlijk zal wel 1 van de voorwaarden zijn dat je de exploit niet aan andere verkoopt.
sn34ky
24 augustus 2017 14:31
Grappig om te zien dat deze handel in zero days nu "boven de tafel" gebeurt.
De beloningen zijn wel hoger dan ik me kan herinneren. Maar goed, sinds stuxnet is er ook zo goed als onbeperkt budget;)

Ik weet nog dat toen alleen Skype nog goed versleuteld was er ook een beloning werd uitgeloofd om de encryptie te kraken. Die beloning was iets van 3 miljard dollar!
Heel toevallig is Skype toen via eBay voor een soortgelijk bedrag verkocht.
Ook toevallig dat Skype nu niet meer gebruikt wordt voor privé gesprekken;)

Dat groeiende gebrek aan privacy gaat uiteindelijk zorgen voor een gebrek aan innovatie. Als je niet vrij kan denken en communiceren gaat je creativiteit omlaag. En dat kan echt de ondergang van het westen worden.
Innoveert de bevolking van noord Korea of vroeger de USSR? Ik zie in landen zonder privacy alleen verdoofde geesten...
WhatsappHack
@sn34ky24 augustus 2017 17:11
Nog voor de verkoop door eBay was Project Chess flink aan de gang en waren er backdoors ingebouwd. Na 2011 toen Microsoft ermee aan de haal ging is het ook allemaal te decrypten door hen. Dus helaas was t voor die verkoop al mis.
sn34ky
@WhatsappHack24 augustus 2017 20:52
Ik lees net dat project chess begonnen is onder het beheer van eBay.
De oorspronkelijke makers van Skype hebben naar mijn weten nooit meegewerkt aan het afluisteren van haar gebruikers. Integendeel, anders was er ook geen beloning van miljarden.

Het was een Zweeds bedrijf geloof ik. De Scandinavische landen respecteren privacy gelukkig nog. Veel hosting bedrijven geloven daar ook nog in vrijheid.
De media daar zit ook niet vol met bangmakerij zoals hier. Toen wij nog niet bang werden gemaakt hoefde je hier ook niet aan te komen met snuffelen in ons privé leven.
Dat gedrag hoorde bij de toenmalige tegenstanders (stasi/kgb).

[Reactie gewijzigd door sn34ky op 24 augustus 2017 20:59]

Jerie
26 augustus 2017 19:13
Zou mij niets verbazen als dit gewoon een frontend is voor de NSA. Als ik de NSA was, zou ik me in dit soort bedrijven verdiepen.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee