Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft start tijdelijk bugbountyprogramma voor lekken als Meltdown en Spectre

Microsoft heeft bekendgemaakt dat het een tijdelijk bugbountyprogramma in het leven roept om beloningen tot een kwart miljoen dollar uit te loven voor de ontdekking van lekken als Meltdown en Spectre. Eerder zette Intel een vergelijkbare stap.

Microsoft schrijft dat het programma tot het einde van het jaar duurt en zich richt op lekken die te maken hebben met speculative execution, een processortechniek die ten grondslag ligt aan de in januari gepubliceerde Meltdown- en Spectre-lekken. De hoogste beloning van 250.000 dollar geldt voor 'nieuwe categorieën van speculative execution-aanvallen". Daarmee biedt Microsoft evenveel geld als Intel, dat eveneens een programma in het leven riep dat duurt tot het einde van dit jaar.

Daarnaast biedt Microsoft een lager bedrag van 200.000 dollar voor technieken die de bestaande tegenmaatregelen voor Spectre en Meltdown omzeilen. Zo vraagt het Redmondse bedrijf om exploits die mitigations in Azure ongedaan maken en om exploits die hetzelfde doen op Windows. Daarmee wil het bedrijf ontdekkers van dit soort aanvallen een aanzet geven om de technieken te delen, zodat het vervolgens zijn tegenmaatregelen kan verbeteren.

In een laatste categorie biedt Microsoft een beloning van 25.000 dollar voor een exploit die informatie kan lekken in Edge of Windows 10, op basis van de eerste en tweede variant van Spectre. Het bedrijf schrijft dat speculative execution-aanvallen een 'antwoord vanuit de gehele industrie' vereisen. Daarom wil het informatie die het in het kader van dit nieuwe programma verkrijgt, delen met andere bedrijven. In een afzonderlijke blogpost gaat het bedrijf in op de manier waarop het is omgegaan met Meltdown en Spectre.

Door Sander van Voorst

Nieuwsredacteur

15-03-2018 • 08:51

16 Linkedin Google+

Reacties (16)

Wijzig sortering
Ga gelijk aan de slag :P

200k is natuurlijk peanuts, als je op de zwarte markt er misschien wel miljoenen voor kan krijgen :)
Iemand die een exploit wil misbruiken of op de zwarte markt wil aanbieden zal niet meedoen aan een programma als dit. Ik denk dat je de bounty's ook moet zien als incentive om tijd te stoppen in onderzoek.

Let wel dat de bounty up to $250.000 is (als voorbeeld). De bounty die uitgekeerd wordt kan dus ook lager uitvallen.
Dat vind ik dus zeer tricky, dit is als met de lotto spelen. up to ... maar met wat geluk krijg je 2,5¤ terug.

Iedereen lijkt er echter ten stelligste van overtuigt dat "black market" verkopen zonder enig risico evenveel zou opleveren... Ik vrees dat dit wel eens zou kunnen tegenslaan... dieven blijven dieven.
Dat niet alleen maar het verkopen op de black market brengt ook enorme risico's met zich mee natuurlijk. Dan heb ik het niet alleen over de kans op bv een ripdeal maar ook is er altijd een pakkans met alle gevolgen van dien (mogelijk levenslange gevolgen).
In de uitleg staat voor Tier1 bijvoorbeeld 'Possible Payout $100,000 - $250,000 USD'.

Over het algemeen moet ik zeggen dat ik weinig nieuwsberichten langs zie komen dat de grote bedrijven met bug bounty programma's proberen om zo min mogelijk proberen uit te betalen. Dit is ook wel begrijpelijk want ze willen heel graag dat veel onderzoekers helpen met het vinden (en melden) van bugs in hun software. En dan natuurlijk op hun eigen voorwaarden, waarbij ze ruim op tijd een bugmelding krijgen van echt grote bugs. Als ze dit zelf zouden moeten onderzoeken (doen ze overigens ook) moeten ze ook betalen voor alle onderzoeken die geen bugs opleveren.


Als je hier je beroep van wilt maken, wel belangrijk om goed te lezen wat de voorwaarden zijn en te kijken hoe het bedrijf in het verleden omgegaan is met het uitdelen van bounties.
klopt; maar dat is korttermijn succes. Lever jij een t123 bug/exploid aan, krijg je leuke bonus. En een dikke aantekening op jouw CV; zet deurtjes open. Meer salaris, andere werkomgeving en condities ... zou zomaar kunnen dat zo iets op lagertermijn meer oplevert.

//edit; bedoel dat een 'betere' baan / functie (salaris) op langertermijn meer kan opleveren, dan keertje zwarte markt handelen (met alle risico's vandien)

[Reactie gewijzigd door himlims_ op 15 maart 2018 09:10]

Misschien zit je al in een situatie dat CV poetsen onmogelijk is. De zwarte markt is niet geïnteresseerd in CV's. Ook maakt een CV met 'miljoenen' in een bananenrepubliek/belastingparadijs eigenlijk ook niet meer uit. Dat 'korte termijn succes' kan iemand een leven lang op teren.
Maar zijn miljoenen het waard om je familie, vrienden, leven, hebben en houden achter te laten? Terwijl je met je kunnen op vrij simpele wijze, door je kennis als white hat in te zetten, ook gewoon een meer dan modaal inkomen kan verdienen?

Zolang je niet gepakt bent, is een CV oppoetsen niet zo moeilijk. Als dat CV enorm besmet is, en een bedrijf waar je solliciteerd weet wie je bent, weten de authoriteiten dat ook. Dat je hebt vastgezeten is in Nederland niet snel een probleem, in landen als de VS is dit anders.

Dit soort bug bounties houdt denk ik een boel mensen juist uit het criminele circuit.
Waarom achterlaten?

Dat doe je als je moet verhuizen voor je werk.

Het is overigens een fantasie dat mensen banen en salaris verhogingen krijgen.

Sterker nog een sociaal contact gestoorde nerd zal in een organisatie eerder een last dan een lust vormen.

Als organisatie zich niet kan aanpassen op dat soort medewerkers zal het snel voor beiden een hel zijn.
Achterlaten, omdat scruplesloze organisaties die je er bij nodig hebt jou en je famillie voor de rest van je leven in een wurggreep zullen houden en nooit meer loslaten. En als je niets meer opbrengt wordt je uiteindelijk doodleuk onder het beton gestort. Clubs die zich hier mee bezig houden zijn net zo erg als drugs kartels die miljarden aan omzet draaien.
Kun je dat onderbouwen?

In de 35 jaar dat ik me in de infosec wereld beweeg zijn er maar een paar hackers onder verdachte omstandigheden gestorven.

Maar in recente geschiedenis leven degene die de grootste lekken op hun geweten hebben gewoon nog als ook hun familie....
Ik verwacht ook niet dat je de mensen die zich in het criminele veld begeven op Infosec zult zien.
Dat jeertje zwarte markt handelen is echter wel een paar miljoen netto! Die kwart miljoen die je hier bruto kunt krijgen is belast op koers, inkomen (misschien zelfs als bonus omdat het niet je vaste salaris is) en BTW als je het direct uitgeeft. In euro’s is het 202K. Als je dat als inkomen opgeeft gaag hier 52% direct van naar de fiscus en houd je ~97K over. Geef je dit uit dan houd je netto nog maar zo’n 79K over. Dat is natuurlijk nog steeds een hoop geld. Ik bedoel. Er zijn dagen dat ik het niet heb 😎 , maar in vergelijking met een paar miljoen netto is het wel even een ander verhaal.

Als particuliere vinder is dit dan ook totaal niet interessant. Alleen zakelijk kun je hier wat mee. Als ik zelf zo’n lek zou vinden zou ik per direct een bedrijf starten en het daar in steken. Dan heeft het ineens nut om een leuke auto te kopen en als ZZP-er door het leven te gaan. Koop je een elektrische auto dan heb je behoorlijk wat voordeel dankzij de MIA/VAMIL regeling en betaal je er niet zo heel veel voor. Elektrische auto’s zijn weliswaar duurder, maar leveren een voordeel op in BPM (want 0), bijtelling (4% voor 60 maanden) en dankzij de MIA ook tot 36% investeringsvoordeel. Dankzij de mogelijkheden tot vrije afschrijving bedrijfsmatig ook nog eens erg interessant als je tijdens start-up weinig winst verwacht en een jaar later weer wel.

Nee als particulier is dit niet interessant. Als zzp-er of als bedrijf echter wel.
Die miljoen is dan wel zwart geld, dat is nog wel eens lastig uit te geven of zelfs maar de verplaatsen.
Er zijn ook mensen die hun geld liever eerlijk verdienen.
Maar als dat iets is wat je zou overwegen dan kan je überhaupt veel geld verdienen door de wet te overtreden op elk gebied. De meeste mensen willen niet meewerken aan illegale zaken natuurlijk.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True