Europese Commissie geeft tot 3000 euro voor vinden van bugs in VLC

De Europese Commissie start zijn eerste bugbounty-programma, waarvoor het orgaan het platform van HackerOne inzet. Tot half januari kunnen hackers en onderzoekers de code van mediaspeler VLC onder de loep nemen om kans te maken op bedragen tot 3000 euro.

De beloningen voor het vinden van bugs lopen uiteen van 100 tot 3000 euro, waarbij de hoogte afhangt van de ernst van de softwarefout, die bepaald wordt door het beveiligingsteam van VLC. HackerOne meldt dat in eerste instantie een selecte groep hackers en onderzoekers deel kan nemen aan het programma, gebaseerd op hun ervaring en eerdere werk met het platform.

Na drie weken wordt het programma toegankelijk voor een ieder en half januari stopt de jacht op bugs. Het programma is onderdeel van het free software security audit programme, kortweg Fossa. Een jaar geleden werd geld vrijgemaakt in het EU-budget voor uitbreiding van Fossa met een bugbounty-programma. Twee jaar daarvoor ging het Fossa-programma, opgezet door de Europarlementariërs Max Andersson van de Groenen en Julia Reda van de Piratenpartij, van start. Eind vorig jaar nam het Europees Parlement het voorstel voor uitbreiding met een bugbounty-onderdeel van D66-Europarlementariër Marietje Schaake aan.

Het doel van de procedure is dat Europese instituten gebruik kunnen maken van opensourcesoftwareprojecten die afdoende onderzocht zijn op potentiële kwetsbaarheden. Dat moet de veiligheid van de netwerkinfrastructuur van de Europese Unie verhogen.

IT-banen

Reacties (154)

Fenzo 1 december 2017 15:11

Zo'n jacht lijkt me slechts een momentopname. Wat gebeurt er als er een nieuwe versie van VLC uitkomt na half januari? Is die dan niet meer geldig voor Fossa en moet de hele audit dan weer opnieuw gebeuren?
Krijgen we er nog meer certificaten bij, 'goedgekeurd door Fossa'?

Jazco2nd 1 december 2017 14:43

VLC? gek dat ze voor zoiets gaan wat toch vooral een niche aanspreekt.
Is Media Player Classic HC/Black Edition niet veel populairder?

Ubartu @Jazco2nd • 1 december 2017 15:15

Benieuwd naar de info waaruit je haalt dat VLC een niche aanspreekt.
VLC wordt wereldwijd heel veel gebruikt, en niet alleen op windows, maar ook op tich versies van Linux, Mac, Chrome OS, Android, iOS, en Windows Phone.

Zie hier de statistics hoe vaak welke versie van VLC gedownload is voor Windows, Mac en Linux (versies gedownload voor mobiele telefoons worden hier niet bijgehouden).

Tweaker1234 @Ubartu • 1 december 2017 17:17

En er is ook nog een UWP versie (MS Store) en andere Stores.
Ik denk zomaar dat het de meest gedownloade media player is.

Anoniem: 902873 @Tweaker1234 • 1 december 2017 23:09

VLC is ook een van de beste die er te krijgen is. Het ondersteund vrijwel alles en ieder exotisch bestandstype dat je ertegenaan gooit. Ik heb zelfs een paar betaalde geprobeerd en die komen lange na niet in de buurt van VLC.

Accretion @Anoniem: 902873 • 2 december 2017 01:03

Naast dat het ook media kan converteren en dat het netwerkstreams kan openen.

beerendlauwers @Accretion • 2 december 2017 23:12

Het is dan ook een Video Lan Client

DeKoeDoeMoe @Jazco2nd • 1 december 2017 14:57

MPC wordt niet meer doorontwikkeld het team erachter is gestopt.
https://mpc-hc.org/2017/07/16/1.7.13-released-and-farewell/

Ik denk dat VLC gemakkelijker is voor "normale" ontechnische personen, omdat daar de codecs packs mee bijgeleverd worden wat niet het geval is bij de aangehaalde programma's.
Ook de google results geven altijd VLC mee en niet de andere opensource projecten. Tik maar eens mediaplayer in. Eerst krijg je microsoft programma en dan VLC en derest van de pagina gaat over deze twee.

Ge Someone @DeKoeDoeMoe • 1 december 2017 15:10

MPC wordt niet meer doorontwikkeld

MPC-BE (Black Edition) nog wel.
Ik denk dat ze VLC nemen omdat het op veel meer platformen beschikbaar is (naast Windows: Mac OS, Linux, Andoid, IOS, Windows Phone etc.)

Jazco2nd @Ge Someone • 1 december 2017 15:13

ja ok daar stond ik ff niet bij stil, logisch!
Wist niet dat het ook voor Android bestond, MX Player leek me daarvoor de standaard.

Bliksem B

@Jazco2nd • 1 december 2017 19:26

Die kost geld. Het merendeel van de mensen die ik ken gebruikt VLC, (als ze nog een mediaspeler gebruiken althans).

Jazco2nd @DeKoeDoeMoe • 1 december 2017 15:13

MPC is al veel langer gestopt, jij hebt het over MPC-HC.
En ik heb het juist over MPC Black Edition, wat mij betreft net zoals HC de opvolger van MPC was, is BE gewoon de opvolger van MPC. Eindelijk MPC met een moderner uiterlijk!

Juist MPC-BE vind ik makkelijker voor noobs omdat het een doodsimpele en voor velen bekende interface is.

kalikatief @Jazco2nd • 2 december 2017 03:27

Ik zit juist bij MPC vanwege het ouderwetse uiterlijk. Simpel. Geen fratsen. Goed toegankelijk. Elke andere player heeft van die amateur UI-designers die er eventjes een skinnetje overheen moeten gooien om de een of andere reden. (En MPC-BE ziet er nog slechter uit dan Zoom e.d.)

VLC heeft ook een simpele skin, maar ik vind de manier waarop de UI daar geregeld is niet fijn. Het heeft te veel die 'crossplatform' clunkiness waar alles net wat moeilijker wordt gemaakt dan nodig.

Wat mij betreft vind ik het dus zonde dat MPC-HC niet meer ontwikkeld wordt.

Basilange @kalikatief • 2 december 2017 23:42

Ik vind het wel fijn hoe als je er even de tijd voor neemt VLC er precies zo uitziet/werkt zoals jij wel. Met alle functies die je nodig hebt beschikbaar en het onnodige uit het zicht.

Armada651 @kalikatief • 3 december 2017 09:46

Ik kan dan erg MPV aanraden, ik ben een voormalige ontwikkelaar van MPC-HC en MPV is voor mij een waardige opvolger: https://mpv.io/

kalikatief @Armada651 • 3 december 2017 19:44

Ik zal er een keer naar kijken. MPC-HC voldoet nog prima voor mij momenteel.

Bardman01 @DeKoeDoeMoe • 1 december 2017 16:26

Kan wel zijn wat je zegt, maar ik heb nog nooit zo vaak updates aangeboden gekregen voor MPC als de laatste maanden.
Vreemde zaak.

Bjorn89 @DeKoeDoeMoe • 1 december 2017 17:13

Wat is het verschil tussen black en MPC-HC x64?

Overigens

Gebruik ik VLC vnl voor videofiles
Foobar voor muziek
MPC-HC als een laatste resort omdat je daar je eigen filters kunt instellen(ook onthoudt hij het wachtwoord bij RTSP streaming services).

Beiden geweldige programmas

[Reactie gewijzigd door Bjorn89 op 23 juli 2024 13:40]

Dutchie4 @Jazco2nd • 1 december 2017 19:44

Media Player Classic HC
Latest news
v1.7.13 is released and farewell
July 16, 2017 XhmikosR
v1.7.13, the latest, and probably the last release of our project…

Jazco2nd @Dutchie4 • 1 december 2017 19:49

We hebben het niet over hetzelfde programma, zoals ik al heb uitgelegd.

Becquerel @Jazco2nd • 1 december 2017 16:55

Ik moet eerlijk bekennen dat ik VLC voor alles gebruik en iedereen die ik ken ook. Dat kan misschien aan mij liggen, maar VLC is goed voor zovel video als muziek, en sinds ik geen fancy interface behoef, past het allemaal.

stresstak @Becquerel • 1 december 2017 18:00

VLC is goed voor zowel video als muziek, en sinds ik geen fancy interface behoef, past het allemaal.

In dat geval kun je ook Daum Potplayer eens proberen. Die speelt voor mij alles wat ik hem voer.

Voorheen wel VLC en MPC-HC in gebruik gehad/

Becquerel @stresstak • 2 december 2017 10:30

Dan moet ik wel eerst windows installeren.

Toch bedankt.

NicoJuicy @Jazco2nd • 1 december 2017 16:55

Ik denk dat je de mogelijkheden van VLC onderschat, bv. Streaming

dragnar12 @Jazco2nd • 1 december 2017 22:33

Echt overal waar ik kom kent men en gebruikt mijn vlc.
Zelfs bij de meeste niet tech mensen.
Dit is omdat vlc alles afspeelt en het er bij iedereen opgedonderd word door de wel techneuten die komen als er probleempjes zijn

mashell @Jazco2nd • 1 december 2017 15:08

Grappig. Je benoemt de meest gebruikte, meest bekende mediaplayer een niche en noemt twee alternatieven waar ik nog niet van gehoord had (mediapayer classic heb ik al heel wat jaren geleden afgedankt).

Grrrrrene

@Jazco2nd • 1 december 2017 16:44

Nou, je mag ook zelf met een bron komen natuurlijk. Is MPC-BE ook al 2 miljard keer gedownload? Ik denk dat VLC met afstand de meest gebruikte mediaspeler is, veel vaker dan MPC-BE. Het zou ook raar zijn als de EC een onbekende mediaspeler kiest als eerste onderzoek.

Ik had net als mashell trouwens nog nooit van MPC-BE gehoord. Als ik erop Google vind ik o.a. SourceForge met 25k downloads, MajorGeeks met 89k downloads, Codecs.com met ~270k downloads, Softpedia met 27k downloads, etc. Het zijn waarschijnlijk miljoenen downloads, maar zo komt MPC-BE echt niet aan 2 miljard downloads. Ergo: VLC is veel bekender en relevanter als eerste keuze.

mashell @Jazco2nd • 1 december 2017 15:47

Nee. Maar omdat hier op Tweakers je eigen ervaringen en je eigen omgeving niet telt moet je een bron van het internet hebben. Dus die had ik proactief al opgezocht om zeurigerige (bron?) reacties voor te zijn. Maar je zou ook zelf eens kunnen zoeken op wat de meest gebruikte mediaplayer is.

magnifor 1 december 2017 14:15

3000 euro lijkt mij wel erg laag, verkoop het aan de overheid of op de zwarte markt en je vangt er veel meer voor.

sys64738 Moderator F&V @magnifor • 1 december 2017 14:19

Ja, alleen het ene is legaal en het andere niet echt (hoewel ik niet precies weet hoe strafbaar het verkopen van zero-days/backdoors is....).

Maar het blijft vaag dat ze juist VLC kiezen. Moest het artikel twee keer lezen om te zien dat het echt waar is. Niet echt core-business van de europesche overheid.....

Anoniem: 22317 @sys64738 • 1 december 2017 16:26

VLC is een Frans Open Source project.
Bij ons, Franse multinational, staat het standaard op onze PC.
Je kunt natuurlijk geen Amerikaans Open Source project kiezen voor zoiets.

SSH @Anoniem: 22317 • 2 december 2017 00:04

Van alle Nederlandse overheidsinstanties die ik ken (oké maar een paar) draaien ze allemaal VLC. Dus ook vanuit ons perspectief niet zo gek.

MRED @Anoniem: 22317 • 1 december 2017 22:02

Dat verklaard wel wat. Blijft bij mij toch het gevoel overheersen dat er toch software binnen de EU organisatie in gebruik is waar het vinden en oplossen van bugs een hogere prio heeft als VLC. Als zal natuurlijk niet alle software ook per se open source die binnen de EU in gebruik is, realiseer ik mij.

JEV @Anoniem: 22317 • 2 december 2017 10:58

Was een Frans opensource project:
It started as a student project at the French École Centrale Paris, but is now a worldwide project with developers from everywhere

Rudie_V @sys64738 • 1 december 2017 14:47

Ja, alleen het ene is legaal en het andere niet echt (hoewel ik niet precies weet hoe strafbaar het verkopen van zero-days/backdoors is....).

Blijkbaar mag je zero-days doorverkopen.
nieuws: Bedrijf biedt tot 500.000 dollar beloning voor iOS 9.3-zero days

Op de site van Exodus zijn meerdere producten genoemd waarvoor beloningen uitbetaald worden voor zeroday-lekken.
...
Exodus kan de via het programma ingekochte kwetsbaarheden vervolgens weer tegen betaling aanbieden aan derde partijen, bijvoorbeeld andere bedrijven of overheden.

OddesE @Rudie_V • 1 december 2017 18:30

Tja Exodus voornaamste klanten zijn overheden.

Ongelofelijk eigenlijk toch? Een praktijk die zo dubieus is dat je je afvraagt of het wel legaal is en wie zijn de grootste klanten? Damn the sad state of IT security/privacy....

Rudie_V @OddesE • 2 december 2017 10:07

Je heb natuurlijk bedrijven die hackingtools maken voor oa overheden, dus zero-day exploits zijn gewild. Ik kan mij het italiaanse bedrijf Hacking Team nog herinneren dat zelf gehackt werd en waarvan de gebruikte exploits van hun tools op internet werd gepubliceerd. Dit bedrijf leverde ook aan overheden.
nieuws: Hackers publiceren interne data omstreden beveiligingsbedrijf Hacking...
nieuws: Hacking Team komt met nieuwe spionagesoftware voor overheden
Zelf onze belastingdienst toonde interesse, al is niet bekend of het ook gekocht is:
nieuws: 'Belastingdienst toonde interesse in software Hacking Team'

En overheden willen of kunnen zero-days ook gewoon voor zichzelf houden. In de nieuwe komende wet computercriminaliteit is ook een passage dat onze overheid zero-days geheim wilt houden. Maar hoe kan je dan de rechtsgeldigheid van hun werkwijze controleren?
https://www.techzine.nl/n...-lekken-geheimhouden.html

CP3BEST @sys64738 • 1 december 2017 14:23

Ja, alleen het ene is legaal en het andere niet echt (hoewel ik niet precies weet hoe strafbaar het verkopen van zero-days/backdoors is....).

Ik weet niet zeker of dit nu nog het geval is, maar het wordt gezien als een grijs gebied in de wet.
Het is niet strikt illegaal, maar heel ethisch is het nou ook weer niet.
Als ik mij goed herinner worden exploits (nog) niet gezien als wapens en is het door verkopen dus ook niet illegaal.

Scarra @CP3BEST • 1 december 2017 16:06

Maar zouden deze ook niet meer waard worden op de zwarte markt als bekend is dat de Europese Commissie en allerlei Europese instituten gebruik maken van VLC?

OddesE @CP3BEST • 1 december 2017 18:28

heel ethisch is het nou ook weer niet.

Vandaar dat overheden de grootste klanten zijn...

Je hebt helemal gelijk. Het ís niet ethisch/moreel verantwoord. En helaas zien we steeds bij zulke dubieuze praktijken dat de overheid vooraan staat om er (mis)gebruik van te maken. Dus weet je meteen waar je geen hulp kunt verwachten als je wilt dat de digitale wereld beter wordt.

wildhagen

@sys64738 • 1 december 2017 14:21

Maar het blijft vaag dat ze juist VLC kiezen. Moest het artikel twee keer lezen om te zien dat het echt waar is. Niet echt core-business van de europesche overheid.....

Maar het wordt blijkbaar wel veel gebruikt in Europese instituten, zoals je in het artikel kan lezen:

Het doel van de procedure is dat Europese instituten gebruik kunnen maken van opensourcesoftwareprojecten die afdoende onderzocht zijn op potentiële kwetsbaarheden. Dat moet de veiligheid van de netwerkinfrastructuur van de Europese Unie verhogen.

Dus als men op die manier lekken kan vinden (en dichten uiteraard) komt dat de Europese instituten wel degelijk ten goede, door minder beveiligingsproblemen, en dus minder risico's voor hun netwerken en alle data die op die netwerken staat.

aadje93 @wildhagen • 1 december 2017 18:59

nu geven ze dus wel publiekelijk aan dat ze gebruik maken van VLC, dan is een zero day ineens een stuk meer waard lijkt mij....

CivLord

@sys64738 • 1 december 2017 15:22

Maar het blijft vaag dat ze juist VLC kiezen. Moest het artikel twee keer lezen om te zien dat het echt waar is. Niet echt core-business van de europesche overheid.....

In elke grote organisatie wordt veel gecommuniceerd, o.a. d.m.v. video.

Anoniem: 636203 @sys64738 • 1 december 2017 15:26

Het is niet illegaal om bugs te verkopen. Anders doe je het gewoon zwart. De NSA helpt je zeker wel hiermee.

Wim-Bart @sys64738 • 1 december 2017 17:36

Ik snap het wel, als ik zie op hoe veel overheid PC's het staat zowel Nederlandse als niet Nederlandse. Daarnaast zegt het aantal downloads van Software ook niks. 1 Download, 3 kliks in Altiris en ik heb het op 1000 systemen staan

Douweegbertje @magnifor • 1 december 2017 14:23

Ja behalve dat het dan illegaal is en geen schoon geld is. Iemand die een beetje verstand heeft in dit wereldje kan een prima bedrag binnenhalen. Overigens moet je het wel zo zien dat menig persoon een full-time job heeft en dit als hobby erbij doet. Een hobby wat je een modaal maandsalaris kan geven voor een dagje werk.

3000 euro is gewoon veel geld voor een bug. Vroegah mocht je blij zijn dat je door je (vaak) gratis werk geen rechtszaak aan je broek kreeg. Een goede ontwikkeling dus.

OddesE @Douweegbertje • 1 december 2017 18:32

Ja behalve dat het dan illegaal is

Dat is het niet. Vulnerabilities mag je gewoon verkopen.

Het zou wel illegaal moeten zijn wat mij betreft. En de overheid zou moeten stoppen met ze in te kopen en in plaats daarvan eisen dat het gemeld wordt aan de leverancier (responsible disclosure).

CTVirus @magnifor • 1 december 2017 14:24

Tja maar dan moet je ook de morele/juridische bezwaren meenemen. Gelukkig blijken er veel mensen te zijn die minder geld voor lief nemen en iets goeds doen voor hun medemens.

mashell @magnifor • 1 december 2017 15:05

Is de Europese commissie niet een vorm van de overheid? Het lijkt er op dat "de overheid" als synoniem voor de geheime diensten gebruikt maar dat is wel erg ver bezijden de waarheid.

Deveon @magnifor • 1 december 2017 15:37

Alleen op de zwarte markt kan je er niet over opscheppen. De meeste westerse hackers hebben meer behoefte aan erkenning als aan geld. Ze doen ten slotte al wat ze het liefst doen.

Ook bij de techies die het tot miljardair hebben geschopt zie je vaak dat het geen big-spenders zijn. Misschien wel big spenders voor ons gewone stervelingen, maar in ieder geval niet in verhouding tot mede miljardairs.

rob12424 @magnifor • 1 december 2017 16:49

Grappig dat je dat zegt voor zo'n programma valt het mee. Voor andere programma's vang je meer op de zwarte markt denk ik. Al weet ik dat aantal jaar terug de prijzen daar ook onderuitgekelderd schenen te zijn. (zelfs een botnet schijnt niet meer zoveel te kosten als vroeger)

Wat wel veel kost zijn programma's op maat gemaakt. Daar betaal je schijnbaar op de zwartemarkt wel veel voor. Maar ja legaal kost maatwerk ook wat. In iedergeval.

Dus legaal is beter om te doen.

efari @magnifor • 1 december 2017 18:13

dat hangt er volgens mij geweldig van af of ze die beloning geven voor het vinden van een bug, of voor het uitgebreid beschrijven van een bug, hoe je die kan misbruiken, wat de mogelijke risico’s zijn, en mogelijke oplossingen, etc etc...
ik heb geen idee welke van de 2 hier bedoelt wordt.

zonoskar 1 december 2017 14:24

Na half januari zijn alle bugs er natuurlijk uit, dus goed dat ze er dan mee op houden
/sarcasme.

Ubartu @zonoskar • 1 december 2017 15:19

Goed punt, anderzijds is het beter om er wel tijdelijk aandacht aan te besteden dan in zijn geheel niet. Maar zou zeker beter zijn als er een continu beschikbaar fonds zou zijn voor het vinden van belangrijke bugs in veelgebruikte opensource software.

210667 @Ubartu • 1 december 2017 16:19

Goed punt, anderzijds is het beter om er wel tijdelijk aandacht aan te besteden dan in zijn geheel niet. Maar zou zeker beter zijn als er een continu beschikbaar fonds zou zijn voor het vinden van belangrijke bugs in veelgebruikte opensource software.

Dat is er toch?! Het free software security audit programme. Staat in het verhaal

Ubartu @210667 • 2 december 2017 17:39

Waar ik op doel is op een budget/fonds dat niet slechts voor korte perioden per programma het vinden van bugs gaat belonen. Eerder hebben ze onder EU-FOSSA Apache HTTP Server en Keepas (zonder bugbounty programma overigens) onder de loep genomen en daar is het bij gebleven. Zoals zonoskar ook aangeeft, is het niet zo dat dan opeens de programma's definitief veilig zijn. Gemiste kans dus, imho, maar zeker beter dan niets.

bille 1 december 2017 14:16

Waarom VLC? Kunnen ze niet beter Wordpress verbeteren oid? Impact van een bug in WP is doorgaans wat groter niet?

Nogne @bille • 1 december 2017 14:17

Is Wordpress van Europese bodem? En ik zie de overheid niet zo snel Wordpress gebruiken.

Dreamvoid @Nogne • 1 december 2017 14:54

"Europese bodem" is lastig vaststellen bij een opensource project, maar als het veel Europese gebruikers heeft dan is het natuurlijk in ons aller voordeel dat het veilig is.

IStealYourGun @Dreamvoid • 1 december 2017 16:47

Achter VLC zit tot op vandaag nog steeds een non-profit organisatie dat geregistreerd is in Frankrijk. Dus je kan stellen dat het wel degelijk van Europese bodem is, ondanks dat er over de hele wereld vrijwilligers actief zijn die bijdragen tot het project.

bille @Nogne • 1 december 2017 14:25

Overheid gebruikt gewoon opensource cms systemen afaik.. wellicht op basis van andere technologieën omdat Java nu eenmaal beter klinkt dan PHP.

Al wil ook het "not invented here syndrom" nogal eens de kop op steken bij ICT projecten van de overheid en wordt er maatwerk verlangt. De resultaten van die project zijn niet zelden slechter dan hetgeen je kan krijgen wanneer je wel OS gebruikt.. maar goed; andere discussie.

hackerhater @bille • 1 december 2017 14:50

De NL-overheid gebruikt vooral Drupal als ze PHP gebruiken.
Wordpress is blog-software met grootheidswaarzin en een ramp qua beheer en veiligheid.

[Reactie gewijzigd door hackerhater op 23 juli 2024 13:40]

Kafka @hackerhater • 1 december 2017 15:30

Een ramp? Is het beste en makkelijkste wat er is. Je moet het wel KUNNEN beheren.

mikesmit @Kafka • 1 december 2017 15:42

Hij bedoelt denk ik dat de codebase van wordpress een nachtmerrie is. Een feit wat zeker niet te ontkennen is.

Kafka @mikesmit • 1 december 2017 22:50

Valt erg mee. Ja, het is vrij complex maar een nachtmerrie zou ik het niet willen noemen.

servicedb @Kafka • 1 december 2017 15:54

Hier moet ik even op inhaken. Zolang je WordPress zonder maatwerk gebruikt dan is het nog wel te doen (als je thema ook de plugins die je gebruikt goed kan ondersteunen). Doe je maatwerk, dan is het niet zo voorzelfsprekend. Het update knopje is makkelijk te vinden maar de kans bestaat dat het niet meer naar wens werkt. Vooral als je met ramp plugins als WooCommerce werkt die vrij vaak template bestanden aanpassen en opdelen naar nieuwe versies, dan ga je het minder leuk vinden.

Een simepele WordPress website kan, maar een maatwerk is vrij onderhoud intensief (afhankelijk van de aanpassingen die je gemaakt hebt). Vergis je dus niet dat het 'makkelijk' is omdat het per case anders is.

Windows kan ook 'makkelijk' zijn maar in complexe omgevingen 'moeilijk'.

Cartman!

@hackerhater • 1 december 2017 15:32

Drupal heeft de afgelopen jaren anders ook flinke exploits gehad dus ook die gaat niet vrijuit

[Reactie gewijzigd door Cartman! op 23 juli 2024 13:40]

Quacka @hackerhater • 1 december 2017 15:05

blog-software met grootheidswaanzin. Hahaha

CTVirus @bille • 1 december 2017 14:18

Een remote code execution in een veel gebruikte media speler, kan best veel impact hebben.

mashell @CTVirus • 1 december 2017 14:57

Natuurlijk kan je met een bug met wordpress veel nare dingen uithalen maar daarvoor is ook nog een bug in een browser of mediaspeler als VLC nodig. Ik denk dat een mediaspeler als VLC een groter veiligheidsrisico vormt dan een bug in word press.

EraYaN @bille • 1 december 2017 14:18

Het doel van de procedure is dat Europese instituten gebruik kunnen maken van opensourcesoftwareprojecten die afdoende onderzocht zijn op potentiële kwetsbaarheden. Dat moet de veiligheid van de netwerkinfrastructuur van de Europese Unie verhogen.

Staat in het artikel. Niemand bij de overheid wil Wordpress gebruiken maar VLC is op zich niets mis mee.

ultimasnake @bille • 1 december 2017 14:51

Ja/nee? Lastig maar Wordpress word doorgaans al goed in de gaten gehouden en tegenwoordig zijn hosting partijen ook veel meer betrokken bij het 'moeten' updaten van WP voor hun hosting om veiligheid te garanderen etc. Ik zeg niet dat Wordpress niet gehacked kan worden of niet onveilig is maar de community is daar continu mee bezig. Daarnaast is Wordpress wel opensource maar zit er echt een bedrijf achter Automattic (https://en.wikipedia.org/wiki/Automattic)

VLC is open source en zit een team achter van vrijwilligers maar geen echt bedrijf, controle zal dus minder zijn maar het wordt enorm veel gebruikt, iaw niet alleen de EU maar ook wij zijn hier bij gebaat

. Ik vind het een mooi initiatief omdat we nu eenmaal meer tech-aware moeten worden ook vanuit de overheid en dit programma laat zien dat ze niet het alleen nog aan 'de industrie' willen overlaten

rusman

@bille • 1 december 2017 15:42

Wordpress heeft al een bounty programma: https://hackerone.com/wordpress. Zelfde voor Automattic: https://hackerone.com/automattic.

[Reactie gewijzigd door rusman op 23 juli 2024 13:40]

Duckman51 @bille • 1 december 2017 14:23

volgens mij is er een soort stemming geweest waarbij kon worden aangegeven welk programma als eerste onderzocht zou worden, helaas geen bron van

xiphoid @bille • 1 december 2017 16:47

Ja maar die subtitles zijn zo eng!

YouR 1 december 2017 14:17

Misschien ben ik te weinig op de hoogte hiervan, maar wat is de connectie tussen de Europese Commissie en een mediaspeler zoals VLC? Is dit gewoon om het concept te testen of is het bugbounty programma juist op dit soort bedrijven gericht?

Edit: dank allen, had inderdaad wat beter moeten lezen.

[Reactie gewijzigd door YouR op 23 juli 2024 13:40]

CAPSLOCK2000

Security
Netwerk en systeembeheer

@YouR • 1 december 2017 14:24

Misschien ben ik te weinig op de hoogte hiervan, maar wat is de connectie tussen de Europese Commissie en een mediaspeler zoals VLC? Is dit gewoon om het concept te testen of is het bugbounty programma juist op dit soort bedrijven gericht?

VLC is geen bedrijf. Het wordt ontzettend veel gebruikt en er staat een grote community achter, maar geen bedrijf. De EU ziet dat VLC nuttig is en dat talloze Europeanen er van profiteren. Door een paar duizend euro op dit niveau uit te geven worden al die gebruikers geholpen.
Zie het maar als dat de overheid een weg bouwt. Daar kan iedereen van profiteren en als het goed is levert zo'n weg uiteindelijk meer op aan economische groei, geluk, etc.. dan dat er in is gestoken. Losse burgers zullen niet snel een weg bouwen, dat gaat veel beter als we het met z'n allen samen doen.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 13:40]

Rex @CAPSLOCK2000 • 1 december 2017 15:06

VLC is geen bedrijf, máár het is wel een product van het bedrijf "VideoLAN".
VideoLAN is een non-profit in Frankrijk: Rue Charcot 18, 75013 Parijs.

CAPSLOCK2000

Security
Netwerk en systeembeheer

@Rex • 1 december 2017 15:32

De organisatie VideoLAN, het is geen bedrijf.
@Kiswum je hebt gelijk, ik heb mijn definities niet op orde. Ik dacht dat een bedrijf altijd gericht was op het maken van winst, dat blijkt niet te kloppen.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 13:40]

Kiswum @CAPSLOCK2000 • 1 december 2017 16:13

Wat is het verschil tussen een organisatie en een bedrijf? Ze kunnen sowieso beiden non-profit zijn.

Enkele jaren geleden ben ik op bezoek geweest in het pand waar aan VLC werd/wordt gewerkt. Het bevind zich aan de rand van Parijs. Het team van Videolan verkoopt onder andere servers om streams beschikbaar te stellen om onder andere on-demand video's en tv beelden te tonen. Denk hierbij aan de content van video's in vliegtuigen of in ziekenhuizen. Deze dienst wordt onder het merknaam Anevia verkocht.

YouR @CAPSLOCK2000 • 1 december 2017 14:31

Ahh okey, ik maak zelf inderdaad ook dankbaar gebruik van VLC, ging er een beetje vanuit dat het gemaakt was door een bedrijf. Wel een interessante aanpak, denk je dat de beloningen hoog genoeg zijn om interessant te zijn voor de bugzoekers?

himlims_ @YouR • 1 december 2017 14:48

Als student/leerling van 14-20 kan dit leuker zijn Dan vakken vullen

StephanVierkant

@YouR • 1 december 2017 14:19

Uit het artikel:

Het doel van de procedure is dat Europese instituten gebruik kunnen maken van opensourcesoftwareprojecten die afdoende onderzocht zijn op potentiële kwetsbaarheden. Dat moet de veiligheid van de netwerkinfrastructuur van de Europese Unie verhogen.

Ik denk dat dit een eerste aanzet is tot een veel groter programma. De volgende zou zo maar de webserversoftware van Apache of wachtwoordmanager Keepass kunnen zijn: nieuws: EC laat na enquête audit uitvoeren van KeePass en Apache

raro007 @StephanVierkant • 1 december 2017 14:52

welk land komen die vandaan?

trouwens ik had liever dat ze geld instaken als in jolla/sailfish..

Rex @raro007 • 1 december 2017 15:01

Wat maakt het uit uit welke landen de software komt?
VLC = Frans. KeePass = Duits. Apache = Amerikaans, maar het wordt zoveel in Europa gebruikt, dat het de moeite waard is om die ook te auditen.

Anoniem: 636203 @Rex • 1 december 2017 15:16

Je kan dit niet zo simpel stellen. De oorspronkelijke copyrights holders zijn misschien Frans / Duits / Amerikaans maar de ontwikkelaars komen uit de hele wereld.

Los daarvan is Apache een ecosysteem, alleen maar de Apache core webserver auditeren heeft niet zoveel nut naar mijn mening.

[Reactie gewijzigd door Anoniem: 636203 op 23 juli 2024 13:40]

Rex @Anoniem: 636203 • 1 december 2017 15:21

Eh ja... Zo makkelijk is het eigenlijk wel. Als VideoLAN (het bedrijf achter VLC) in Frankrijk zit en hun het product VLC hebben en de merkrechten, dan maakt het geen hol uit waar de ontwikkelaars vandaan komen.
VLC is Frans hoe je het went of keert.
Hetzelfde geldt voor KeePass en Apache: KeePass is van een Duitser die in Duitsland woont en Apache is van een non-profit uit Maryland, VS.

Anoniem: 636203 @Rex • 1 december 2017 15:25

Nee dus, want iedereen kan het forken en verder gaan. De copyright van de naam blijft bij VideoLAN maar dat zegt niet zoveel. Een naam kan je altijd wel verzinnen.

[Reactie gewijzigd door Anoniem: 636203 op 23 juli 2024 13:40]

OddesE @Rex • 1 december 2017 19:14

De software is echter van alle gezamelijke contributors. Tenminste, dat is zo bij veelgebruikte licenties zoals BSD, GPL etc.

Sommige bedrijven die een Open Source product hebben eisen dat je het copyright overdraagt aan hun. MySQL AB deed dat niet en de fork (Maria DB) na de overname door Oracle heeft daar nog behoorlijk last van gehad.

Bongoarnhem @raro007 • 1 december 2017 15:03

Ben ik met je eens, maar dan heet het staatssteun en hier hebben meer mensen wat aan schat ik.

jongetje

@Bongoarnhem • 1 december 2017 15:17

Ik denk dat het de mensen van VLC veel meer kost dan die 3 duizend euro van de EU.

ronansoleste @raro007 • 1 december 2017 15:04

VLC is van de non-profit organisatie VideoLAN dat door een franse (toen) student is begonnen.

ik niet, Jolla/Sailfish is namelijk een commercieel product dat OpenSource is.
overigens vind ik het nog steeds een goed idee om het wel te doen.

Bongoarnhem @ronansoleste • 1 december 2017 21:27

Niet open-source hè, dat zouden we graag willen. Maar het silica gedeelte is nog steeds closet source.

Shakesbeer_NL @YouR • 1 december 2017 14:20

Schaamteloze copypaste van laatste alinea:

"Het doel van de procedure is dat Europese instituten gebruik kunnen maken van opensourcesoftwareprojecten die afdoende onderzocht zijn op potentiële kwetsbaarheden. Dat moet de veiligheid van de netwerkinfrastructuur van de Europese Unie verhogen."

Dus de EU wil VLC gebruiken en draagt op deze manier bij aan het project

Edit: Stephan was me voor

[Reactie gewijzigd door Shakesbeer_NL op 23 juli 2024 13:40]

PeterBennink @YouR • 1 december 2017 14:20

"Het doel van de procedure is dat Europese instituten gebruik kunnen maken van opensourcesoftwareprojecten die afdoende onderzocht zijn op potentiële kwetsbaarheden. Dat moet de veiligheid van de netwerkinfrastructuur van de Europese Unie verhogen."

Dit staat letterlijk in het artikel.

E: Zie dat meerdere mensen deze zelfde reactie al plaatsten op hetzelfde moment, maar kan 'm nu niet meer verwijderen (of wel?).

[Reactie gewijzigd door PeterBennink op 23 juli 2024 13:40]

boudewijnrempt @YouR • 1 december 2017 14:19

Wat voor bedrijf? Vlc wordt niet door een bedrijf gemaakt.

Anoniem: 636203 1 december 2017 15:19

Bedoelen ze dan het auditen van alleen de core VLC applicatie? Of ook alle plugins en encoders / decoders? Anders heeft het niet zoveel zin.

Idem Apache.

Anoniem: 392841 @Anoniem: 636203 • 1 december 2017 15:35

Neem aan dat ze de core en het framework erachter bedoelen... Plugins en zo zijn leuk, maar uitermate vervangbaar in principe. Echter als de core en het framework erachter niet kloppen, heb je er niks aan.

Anoniem: 636203 @Anoniem: 392841 • 1 december 2017 18:54

De encoders / decoders lijken mij juist extra kwetsbaar voor fouten, omdat deze complex zijn. Een decoder voor bijvoorbeeld mkv zou een fout kunnen bevatten waardoor een kwaadwillende een videobestand zou kunnen opsturen wat daarna willekeurige code op jouw machine gaat uitvoeren om zo je computer over te nemen.

mashell 1 december 2017 15:10

VLC zit toch een beetje schimmig met haar codecs. Als er na de bug hunt sessie een "Europees Zegel van Goedbevinden" op komt, wordt de EU dan niet op de een of andere manier medeverantwoordelijk?

cdwave @mashell • 1 december 2017 15:31

De "schimmigheid" ligt meer op het gebied van patenten. Het goede nieuws is dat je als simpel individu niet kunt worden aangeklaagd voor het schenden van patenten, en dus mag je de VLC source code zelf compileren en daarmee je huisgemaakte videootjes met h265 comprimeren en daarna verspreiden, zonder ook maar een cent aan Fraunhofer of vergelijkbare instituten over te hoeven maken.

Wat niet mag is een gecompileerde "fully loaded" versie van VLC verspreiden, want dat valt onder commercieel gebruik, ook als je daar geen geld voor vangt. Dan kun je wel aangepakt worden voor patentbreuk. Daar komt de "schimmigheid" vandaan, want niet iedereen zal zijn eigen versie willen compileren, dus worden er kant-en-klare versies verspreid.

Voor de duidelijkheid, onder VLC vallen ook allerlei projecten als ffmpeg en allerlei codecs waarvan een groot aantal niet "free" is.

De code zelf is niks schimmigs aan, die is gewoon open source.

Anoniem: 310408 @mashell • 1 december 2017 15:17

VLC zit toch een beetje schimmig met haar codecs.

Vertel eens, wat er er schimmig volgens jou? Nu gooi je zo maar een verdachtmaking de wereld in zonder enige bron.

mashell @Anoniem: 310408 • 1 december 2017 15:49

Die schimmigheid (was dat niet algemeen bekend?) verwoordt @cdwave hier onder erg goed.

mashell @210667 • 1 december 2017 16:19

Zoals @cdwave ook zegt, meestal wordt niet de source gedownload en zelf gecompileerd maar een compleet pakket gedownload. En dat is dus wel schimmig.

OddesE @210667 • 1 december 2017 19:19

Je lult je er nu dacht je op een handige manier uit.

Nee. De schimmigheid betreft patenten op de codecs, die verspreiden van de codecs in een grijs (schimmig) gebied stoppen. Hetzelfde probleem waardoor Firefox af en toe in het nieuws komt als ze klagen dat patenten het hun onmogelijk maken een codec mee te bundelen met de browser.

Oftewel de man had, ondanks gebrek aan bronnen of duidelijkheid in zijn post, gewoon volledig gelijk. Hij was ook on topic en speelde niet op de man. Jij bent nu gewoon aan het zuigen. Fan van VLC of zo? Mag er niets over gezegd worden dat negatief kan worden uitgelegd??

EDIT: 'De code' refereert aan de code van VLC. De broncode dus. Dat gaat dus niet over de codecs. Dat hele gezeur met die codec packs is er vanwege de schimmigheid waar mashell het terecht over heeft.

[Reactie gewijzigd door OddesE op 23 juli 2024 13:40]

Chuk 1 december 2017 14:18

Dit wordt steeds meer en meer populair, zo zijn er al veel exploits en bugs gemeld aan bedrijven. Je hebt gewoon meer kans dat er bugs gespot worden als er veel verschillende mensen met je product spelen en zoeken naar fouten. De meeste 'hackers' zoeken deze bugs zelfs eerder voor de fun dan voor het geld. Een win-win situatie.

grand admiral Mause 1 december 2017 18:02

Vlc zit ook in veel ip based videowall decoders die vaak in controlrooms worden ingezet om de cube/lcd walls aan te sturen.

Op dit item kan niet meer gereageerd worden.

Europese Commissie geeft tot 3000 euro voor vinden van bugs in VLC

Lees meer

IT-banen

Reacties (154)

Sorteer op:

Weergave: