Bedrijf start 'eBay voor veiligheidslekken'

Het Zwitserse securitybedrijf WabiSabiLabi is een marktplaats voor zeroday-kwetsbaarheden gestart. Volgens de initiatiefnemers kunnen veiligheidsonderzoekers er een 'eerlijke prijs' voor hun werk door verkrijgen.

H4ck3r-hackersblaadje Het standpunt van bedrijven zoals Microsoft, dat vindt dat securityonderzoekers hun bevindingen geheim moeten houden totdat er een patch is, komt er in de praktijk veelal op neer dat laatstgenoemden niet voor hun werk betaald krijgen, aldus WabiSabiLabi. Het bedrijf stelt dat een marktplaats niet enkel het witte hackersgilde van rechtvaardige beloningen kan voorzien, maar bovendien de prikkel bij hen wegneemt om hun bevindingen op de zwarte markt aan criminelen te verkopen. De site biedt een handvol lekken te koop aan voor enige duizenden dollars en de biedingen druppelen reeds binnen.

Er zijn al eerder beloningsprogramma's opgezet, zoals de Security Bug Bounty Program van Mozilla en Verisigns cheque van achtduizend dollar voor een Vista- of IE7-bug. Volgens David Perry van beveiliger Trend Micro is dit echter de eerste keer dat er een veilingsite voor lekken wordt opgezet. Perry stelt dat met de oprichting van de site een risicovolle weg wordt ingeslagen: hij vreest dat informatie over zeroday-kwetsbaarheden er gemakkelijker door in handen van kwaadwillenden terecht kan komen. WabiSabiLabi bestrijdt dat: het stelt enkel met 'legitieme' verkopers en kopers te werken. Die dienen zich dan ook te legitimeren, maar kunnen verder wel anoniem opereren. Het bedrijf meldt verder dat alle aangemelde lekken door de eigen experts worden geverifieerd voor ze de veiling ingaan.

exploit petje Volgens Cesar Cerrudo van Argeniss Information Security is de door Trend Micro tentoongespreide bezorgdheid over de site overdreven. Dat securityresearchers ondergronds gaan om hun bevindingen te gelde te maken zou weliswaar niet zo heel vaak voorkomen, maar 'het zwarte circuit is vaak de enige manier om er makkelijk geld mee te verdienen', aldus Cerrudo. Zo gingen exploits voor het beruchte WMF-lek vorig jaar bijvoorbeeld voor enkele duizenden dollars van de hand. Cerrudo stelt dat de site dan ook als iets positiefs gezien kan worden: dan gebeuren de zaken immers gewoon bij daglicht.

Reacties (28)

TD-er

9 juli 2007 00:02

Is dit niet een middel om chantage mogelijk te maken?
Je kunt het zelfs anoniem doen.
Daarnaast zou iemand op die manier mogelijk ook extra geld bij zijn werkgever los kunnen peuteren, al vraag ik me af of dat laatste niet ontmaskerd zal worden, want dat wereldje is vaak erg klein.

kidde @TD-er • 9 juli 2007 03:07

Behalve een chantagemiddel, is het misschien ook een middel om softwaremakers eerst eens naar hun eigen software te laten kijken in plaats van hun brakke beta-troep gelijk aan het publiek te verkopen / aan te bieden, zonder deze preventief op fouten te doorzoeken. Zowel Linux, Windows als Mac OS X zijn allen niet preventief op fouten doorzocht, en eigenlijk is het raar dat de software-industrie hiermee wegkomt.

Immers, iemand die een chemische installatie maakt gaat ook niet eerst draaien en daarna gaten dichten. Die smeert de boel nog voor de verkoop eerst eens met zeepbellen in (als bij een fietsband), en belast de boel dan eerst eens zwaarder dan de 'gebruiksdruk', alvorens de boel op te leveren. De gemiddelde Nederlander rijdt ook niet op een lekke band weg om halverwege dertien gaten te plakken en dan verder te proberen te fietsen, om te bemerken dat een plakpleister zelf lek is, van een de lijm los zit , en de andere ervoor zorgt dat het wiel 'vierkant' wordt.

Blokker_1999

Hackers
Netwerk en systeembeheer

@kidde • 9 juli 2007 05:58

Niet op fouten doorzocht? Waarom denk je dan dat zulke software eerst maandenlang als beta en daarna als RC word uitgebracht? Niet om mensen te plezieren hoor, maar net om de software door zoveel mogelijk mensen te laten testen op fouten en problemen zodat men deze kan verhelpen vooraleer het product in de winkel komt.

SunnieNL

@Blokker_1999 • 9 juli 2007 08:00

tja.. en als ik dan zie hoevaak een bepaalde fout die ik vind in de early beta's een half jaar/driekwart jaar erna nog in de final build zitten.. vraag ik me toch soms af waar ik het ook al weer voor doe

mae-t.net @TD-er • 9 juli 2007 00:27

Helemaal anoniem niet, je naam en toenaam zijn kennelijk bij de veilingsite zelf wel bekend. Dat impliceert ook dat ze die dus zullen gebruiken als er schimmige handeltjes plaats lijken te vinden.

? ? @TD-er • 9 juli 2007 12:16

greyhat, is dat niet gewoon een ander woord voor cybercrimineel ...
whitehats geven geen geld uit om lekken te weten, want wie koopt er nu code.. allesinds geen whitehats (die willen ze zelf vinden)
en whitehats verkopen ook geen code als ze weten dat er iets crimineels mee gaat gebeuren

dus dit hele initiatief is voor en door criminelen. Hackers zijn criminelen van als ze zoiets releasen. Ik heb veel applications gehackt, maar telkens om features bij te voegen. Niet om misbruik te bevorderen...

wizzkizz @? ? • 9 juli 2007 19:00

nee, het is volgens mij de bedoeling dat white hats die code verkopen aan de betreffende softwarebedrijven. Natuurlijk zullen er ook malafide mensen op af komen, maar dat verhoogt alleen de prijs voor het softwarebedrijf maar, want ik neem aan dat ze die exploit liever zelf 'kopen' dan dat ze die door iemand laten uitbuiten. Dat kost ze veel meer geld.

Verwijderd 9 juli 2007 00:17

Ik heb opzich geen problemen met deze opzet. De lekken zijn er toch, en ik heb liever dat er sneller openbaarheid over bekend is, dan dat alles ondergronds gebeurt. Dagelijks controleer ik sites zoals SecurityFocus of er directe of indirecte problemen zijn met de software die wij (of onze klanten) gebruiken, en vaak in combinatie met het afstruinen van blogs/sites/etc van bepaalde ondergrondse groepen.

Echter er zijn zat 0-day exploits die niet openbaar gemaakt worden aan de maker van het programma, dus op deze manier is de kans groter dat je er in ieder geval van weet. En nu kan ik me daar in ieder geval op voorbereiden, door de applicatie af te schermen.

Al onze klanten die MKPortal gebruiken zijn dus al verhuist naar een aparte sandbox/honeypot server toen de exploit enkele dagen geleden te koop werd aangeboden, en extra log capacitieit is aangezet zodat we vanzelf de exploit te zien krijgen als iemand hem uitprobeert.

@humburg, migratie is geen enkel probleem, de sites hebben absoluut geen downtime en de klant merkt er niks van. Het is gewoon puur bedoeld voor ons om meer aandacht aan die sites te kunnen geven. De honeypot servers van ons zijn zo ingericht dat er in realtime verschil backups gemaakt worden bij elke aanpassing. Dat loopt soms op tot vele TB's aan backup data op een druke website, daarom doen wij dat dus ook apart. Maar dit stelt ons dan in staat om onbekende exploits te analyseren. IT-security op 0-day exploits houd meestal in repareren achteraf. Wij zijn toen begonnen met deze opzet om ook meer preventief te doen. Onze klanten in CA bijvoorbeeld zijn wettelijk verplicht om technische maatregelen te treffen voor de beveiliging van financiële/persoonlijke data van hun klanten. Dus zeg dat een klant MKPortal en osCommerce zelf op hun eigen server/site hebben gezet, dan kunnen wij ze dus waarschuwen en assisteren bij het schieden van die twee, voordat een hacker via een MKPortal exploit toegang tot de osCommerce financiële data krijgt. Dan moet de klant wel een managed-support contract met ons hebben, anders is het hun eigen verantwoordelijkheid.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 14:40]

humbug @Verwijderd • 9 juli 2007 00:55

Al onze klanten die MKPortal gebruiken zijn dus al verhuist naar een aparte sandbox/honeypot server toen de exploit enkele dagen geleden te koop werd aangeboden, en extra log capacitieit is aangezet zodat we vanzelf de exploit te zien krijgen als iemand hem uitprobeert.

De vraag is of je klanten daar zo blij mee zijn.....

Je blijft klanten heen en weer schuiven wat de kans op problemen voor hen alleen maar vergroot. Daarnaast lost dit niets op: je zorgt er enkel voor dat andere klanten problemen krijgen als 1 van je klanten wordt aangevallen. Dus: Een hoop werk waarbij de klantensites minder bereikbaar worden (door bv migratiefouten) zonder dat er iets positiefs tegenover staat.

Verwijderd 9 juli 2007 02:05

Kan ik ook fysieke veiligheidslekken veilen op deze site? Als ik weet waar de plaatselijke Rabo direkteur de sleutel van de kluis bewaart, waar zijn kinderen op school gaan en waar zijn vrouw haar nagels laat doen en ik weet wanneer het beveiligingsbedrijf langskomt op patrouille, is het dan nog steeds geoorloofd om deze informatie te veilen? Dit soort informatie wordt anders alleen aan "echte" criminelen verkocht. Dan is het toch goed dat er een site is waar je je info kan veilen? Ik ga natuurlijk niet gratis aan de direkteur vertellen dat ie beter een andere beveiliging kan nemen want ik wil net als een hacker betaald worden voor mijn "werk"

xtra @Verwijderd • 9 juli 2007 02:20

Voorzover het uitmaakt zie ik een klein verschil. De veiligheidslekken gaan over algemeen verkrijgbare producten en jij beschrijft een specifieke situatie.

Als je een veilingsite begint waarop je van een bepaald bedrijf belangrijke informatie (gebruikte software, wachtwoorden, slecht beveiligde servers) doorspeelt zal de reactie waarschijnlijk hetzelfde zijn als bij jouw voorbeeld.

Als je een lek in een bepaald type slot vind (zoals een consumentenprogramma een tijd geleden eens deed.) dan klinkt het al een beetje minder ernstig.

Verwijderd 9 juli 2007 09:00

Eindelijk wordt de vinder van een lek fatsoenlijk beloond voor zijn of haar inspanningen. Het is een schande wanneer een bedrijf er geen vergoeding tegenover stelt. Hun eigen testers krijgen tenslotte wél een salaris uitgekeerd, waarom zou je de 'flexwerker' waarmee ik de vinder wil typeren, niet uitbetalen?

Precision 9 juli 2007 00:04

nu voel ik me pas veilig, eerst weten de criminelen dat er een nieuw lek is voordat de desbetreffende bedrijven ervan op de hoogte zijn. Plat leggen die site, kunnen we niet iets naughty doen. Een afbeelding van hen op de homepagina integreren slurpen we al hun datatraffic op.

SKiLLa @Precision • 9 juli 2007 00:26

Wat een onzin. Zoals al in het artikel genoemd (en een beetje google-onderzoek jouwerzijds had kunnen uitwijzen) is er allang een zwart 0day-exploit circuit waar hackers en crackers hun bevindingen aan de hoogste bieder verkopen. De kopers daar zijn bijna altijd 'echte' cybercriminelen.

Deze website is juist bedoelt om 'greyhat & whitehat hackers' een legaal en constructief alternatief te doen aanbieden en zodanig uit het criminele circuit te krijgen/houden. Eigenlijk dus een win-win situatie.

Het commentaar van TrendMicro valt mijn inziens dat ook in het bakje 'we vissen achter het net', want dergelijke circuits met negatieve inslag bestonden allang en dus vormt een website met positieve inslag geen extra risico, maar verkleint het dat juist !

bluppfisk 9 juli 2007 11:52

Ik vraag me toch 't een en ander af. Wat als de hoogste bieder op een dergelijke veiling nu (vertegenwoordigers van) de Russische mafia zijn? Of een andere cybercriminele organisatie. Het een en ander in het nieuws van de laatste tijd (zoals de massale virusaanvallen op mensen in het topmanagement van bedrijven) wijzen er toch op dat er flink wat kapitaal zit in e-misdaad. Het kan toch niet zo gezond zijn dat een vulnerability exclusief in handen komt van zulke onderwereldfiguren?

En twee: wat is de huidige wetgeving. Ik lees op Techworld dat ontdekkers _verplicht_ zijn om hun bevindingen gratis bekend te maken? Hoe werkt dat precies? Kan iemand me wat meer uitleg verschaffen?

The Zep Man

Netwerk en systeembeheer
Hackers
Beveiliging

@bluppfisk • 9 juli 2007 14:09

Ik lees op Techworld dat ontdekkers _verplicht_ zijn om hun bevindingen gratis bekend te maken? Hoe werkt dat precies? Kan iemand me wat meer uitleg verschaffen?

Moreel verplicht, misschien. Tot zover ik weet heb je tot de dag van vandaag het recht om (enigzins) vrij te spreken en te zwijgen.

PHiXioN 9 juli 2007 00:26

Ik vind het een goed idee dat wellicht uiteindelijk tot betere software gaat leiden. Het is hetzelfde effect als bij patenten. Men ontdekt iets en nu is er een stimulans om problemen bekend te maken. Voor de specifieke details zal men moeten betalen, maar in ieder geval komen de gebreken zo wel aan het licht.

Natuurlijk is een bedrijf als Microsoft hier niet blij mee en spelen ze het op een onveiligheidsgevoel bij klanten. Zij zullen door een hoepeltje extra moeten springen zodra meer fouten openbaar worden gemaakt. Of een klant veilig de software kan gebruiken zal echter volledig aan Microsoft liggen. Als zij maanden wachten met het dichttimmeren van een lek, is de klant inderdaad de dupe, maar de schuld ligt dan niet bij de ontdekker van het lek.

smorgje 9 juli 2007 09:32

Het bedrijf meldt verder dat alle aangemelde lekken door de eigen experts worden geverifieerd voor ze de veiling ingaan.

Dus WabiSabiLabi krijgt zo eigenlijk gratis inzicht in alle lekken? Klinkt niet helemaal eerlijk op deze manier....

Verwijderd 9 juli 2007 09:42

Ik ben wel wat de kosten zijn die deze mensen rekenen, en of het verkopen eigenlijk wel een beetje wil lukken. Dus heb ik maar besloten de proef op de som te nemen door een XSS lek in www.ns.nl te submitten.
Vraag me vooral af hoeveel geld dit bedrijf voor hun service wilt hebben.

Edit: ze willen dus in ieder geval geen website specifieke lekken... (hebben me gemaild dat ze om die reden geen interesse hebben)

[Reactie gewijzigd door Verwijderd op 23 juli 2024 14:40]

bluppfisk @Verwijderd • 9 juli 2007 13:58

Foute redenering. We hebben het hier over mensen die inbreken in het kantoor van een huisjesmelker die rotte huizen verkoopt aan mensen. En deze mensen hebben er baat bij dat de minder frisse kant van hun huizen bekend wordt voordat ze instorten.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (28)

Sorteer op:

Weergave: