Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

IE8, Safari en Firefox gehackt tijdens Pwn2Own-evenement

Door , 83 reacties, submitter: 80466

Tijdens een beurs over beveiliging vertoonden twee hackers hun kunsten door de beveiliging van de drie belangrijkste browsers, Safari, Internet Explorer en Firefox te omzeilen. De vierde grote browser, Opera, werd niet aangevallen.

Exploit petjeBeveiligingsbedrijf Tippingpoint had een geldbedrag van 10.000 dollar uitgeloofd voor de hacker die tijdens de beveiligingsbeurs CanSecWest de browser van een mobiele telefoon wist te kraken. De aanwezige hackers richtten tijdens de hackwedstrijd met de naam Pwn2Own hun pijlen echter niet op mobiele browsers, maar op pc-browsers. Apples Safari-browser werd door Charlie Miller gekraakt door gebruik te maken van een bug in de software die hij al een jaar geleden ontdekte. Hij wuifde zijn prestatie weg met de opmerking dat Safari eenvoudig te kraken is, aangezien er 'veel bugs' te vinden zijn.

Nils, zoals een tweede hacker die zijn kunsten vertoonde zich noemt, demonstreerde hoe hij een bug in Microsofts browser Internet Explorer wist te misbruiken om zijn eigen code uit te laten voeren. Hij herhaalde zijn trucje door ook de beveiliging van Mozilla's Firefox en Safari te slim af te zijn.

De reden voor de ogenschijnlijke immuniteit van de browsers van mobiele telefoons is volgens hacker Miller te danken aan de regels van de hack-wedstrijd. De exploits op mobieltjes moesten hun werk vrijwel zonder gebruikersinteractie uitvoeren, terwijl de regels voor de pc-browsers minder strikt waren. In het vervolg van de Pwn2Own-wedstrijd zullen ook de regels voor 'mobiele hacks' losser worden, wat volgens Miller tot meer succesvolle demonstraties zal leiden.

Lees meer

Moderatie-faq Wijzig weergave

Reacties (83)

Reactiefilter:-183079+118+29+30Ongemodereerd0
Interessante leesstof over Cansecwest


10 Things to Remember About CanSecWest and Software Vulnerabilities.

1. Exploits discovered for the Mac have little other value outside of contests like CanSecWest. CanSecWest was a controlled explosion designed to demonstrate how fearsome a theoretical attack on Macs might be if there were any market to support such an event from actually happening outside of an artificial contest.

2. The CanSecWest contest clearly appears intent to transfer the security focus belaboring Windows to other platforms. Microsoft has repeatedly paid for research that might suggest that enterprise users could face greater theoretical security risks on Linux. Microsoft desperately desires to rid itself of its decades long reputation for abysmal security.

3. The contest prominently focused attention on the brand name of the MacBook Air, while only describing the other two laptops by their manufacturer. This delivered the most sensational headline payload possible, associating the security problems dogging Windows with Mac OS X

4. The Mac exploit was something Charlie Miller had in hand when he arrived.

5. The researcher who cracked the Vista machine was stymied by the fact that he didn’t expect it to have SP1 installed, according to a follow up report by IDG’s Robert McMillan. So Miller was better prepared than the second place winner. That’s a positive reflection on Miller more than a negative reflection on Mac OS X.

9. Miller has repeatedly stated that his life’s work is to discredit the security of the Apple’s platforms.

En aangevuld door Jeff Jones (Microsoft's security group)
“I don't really care for 'hack the box' contests. If a machine doesn't get hacked, it does not mean it isn't breakable. If it does get hacked, it just shows us what we already know - any machine can be broken under the right circumstances. So, don't read too much into the PWN 2 OWN results. I don't.”
Maakt dit T.net-nieuwsberichtje weer een wat eenzijdige berichtgeving......
Is dit niet strafbaar?
aangezien het toch nog altijd om hacken gaat.
of waren de developers op de hoogte van dit evenement?
Het is niet strafbaar om aan te tonen dat er iets niet klopt aan een product, in een omgeving die daarvoor is ingericht met toestemming van diegene waarop het product, of de lek in het product, wordt getest.

In dit geval is diegene van wie de computer is, ermee akkoord gegaan dat hackers hem zouden hacken, dan is er dus geen sprake van illegale inbraak, maar met een afspraak.

De developers hoeven geen toestemming te geven om exploits te ge(of mis-)bruiken. Als jij aan het browsen bent en door een fout van de softwareprogrammeur doe jij iets wat "eigenlijk niet mag", laat staan zou moeten kunnen; dan ben je ook niet direct aansprakelijk als zodanig met hackintenties. Ergo: Developers hoeven niet op de hoogte te zijn; het zou alleen slim zijn als ze dat wel zijn!
Is dit niet strafbaar?
aangezien het toch nog altijd om hacken gaat.
of waren de developers op de hoogte van dit evenement?
Waarom zou dit verboden zijn? Proberen gaten te vinden in software is niet illegaal. Inbreken in systemen die niet van jou zijn, dat is illegaal.
Bekijk het zo, als ik een kluis koop dan is het volkomen legaal als mensen uitnodig om bij mij langs te komen en te proberen het ding open te breken. Met software is het net zo.

Ik moet trouwens zeggen dat ikhet wel erg jammer vindt dat ze mar naar drie browsers hebben gekeken. Opera erbij zou leuk zijn geweest.

[Reactie gewijzigd door Ook al Bezet op 19 maart 2009 19:57]

Wat jij hier zegt klopt, voor Nederland.
Deze redenering gaat helaas niet op voor de US met de DMCA. Vandaar ook dat de wedstrijd in Canada was, allicht?
Voor Compatability/Interoperability en Wetenschappelijk onderzoek geld de DMCA niet, helaas is dit nog nooit in een rechtzaak bevochten en er is dus ook nog geen jurispredentie, daardoor wil men niet 1,2,3 daar op terug vallen en nemen ze liever geen risico.

Het gaat hier trouwens om het 'reverse engineering' gedeelte neem ik aan. Staat een mooi stuk over geschreven in Reversing, Secrets of Reverse Engineering.

[Reactie gewijzigd door CMG op 19 maart 2009 23:51]

Voor Compatability/Interoperability en Wetenschappelijk onderzoek geld de DMCA niet
Oh, dus tools om ge-DRM-de Blu-Ray films te kunnen rippen om ze te kunnen kijken op je Linux bak zijn volstrekt legaal in de US?
En je mag no-cd cracks zonder problem versprijden omdat je die nodig hebt voor die ultra-thin laptops zonder cd drive?

Ik hoop dat er wel snel jurispredentie komt dan, want die 'uitzondering' is uitermate vaag.
DRM is volgens mij een uitzondering, dat is weer apart opgenomen in de DMCA en mag voor zover ik weet niet aangepast worden.
Inderdaad nu je het zegt. Ik heb me altijd afgevraagd hoe ze dat hebben gedaan met Matrix 1 waar Trinity een echte exploit gebruikt. Het lijkt me niet dat deze set in het buitenland is opgenomen.

bron: http://tweakers.net/nieuw...middels-oude-exploit.html :Y)
Inderdaad nu je het zegt. Ik heb me altijd afgevraagd hoe ze dat hebben gedaan met Matrix 1 waar Trinity een echte exploit gebruikt. Het lijkt me niet dat deze set in het buitenland is opgenomen.

bron: http://tweakers.net/nieuw...middels-oude-exploit.html :Y)
Dat is de tweede Matrix film. En en een script maken welk een paar regels achter elkaar echo-ed is makkelijk.

[Reactie gewijzigd door The Zep Man op 19 maart 2009 20:56]

Klopt, maar wat getoond wordt is hoe een echte nmap sessie en de hack er uit zou zien als deze echt gedaan zou worden. Het ging om een bestaande exploit.

Een van de weinige keren dat je in een film iets realistisch kan zien, op dat nivo.
Inderdaad nu je het zegt. Ik heb me altijd afgevraagd hoe ze dat hebben gedaan met Matrix 1 waar Trinity een echte exploit gebruikt. Het lijkt me niet dat deze set in het buitenland is opgenomen.

bron: http://tweakers.net/nieuw...middels-oude-exploit.html :Y)
Volgens mij is de Matrix is Nieuw Zeeland opgenomen.
Er was iets met vakbonden geloof ik.
Hacken is sowiezow niet strafbaar, alleen blackhat hacken en cracks (die 2 worden regelmatig in 1 adem genoemd door de gemiddelde digibeet)
Nou...door mij ook hoor, en ik ben geen digibeet. Ik wordt alleen een beetje ziek van die stumpers die voor elke semi-nieuwe dicipline weer een nieuw naampje verzinnen om interessant te doen. Hacken=hacken, klaar. Alleen maar dingen moeilijk maken om interessant te doen is zielig. Hou het gewoon simpel, dan snapt iedereen het tenminste, tenzij het je doel is om het moeilijk te houden zodat alleen ingewijden het nog snappen.
Nieuwe woorden worden gemaakt om duidelijker met elkaar te kunnen communiceren, zeker als een woord te veel betekenissen heeft, en het ook in context niet echt meer duidelijk is. Anders moet je telkens de context er bij schrijven.

Ik heb een hack geschreven, gisteren.

Ik heb een crack geschreven, gisteren.

Een letter, maar voor mij zijn het 2 verschillende dingen.
Het gaat denk eerder om een proof of concept of dergelijke, beveiligingsevenement om denk ik 'gaten' alsnog onder de aandacht te brengen.

Opmerkelijk dat ze Opera met rust hebben gelaten of de inmiddels aardig populaire google Chrome.
Google Chrome en Safari draaien allebei WebKit als engine, dus denk dat Chrome net zo lek is.
Het gaat wel om een redelijk getunde versie van de WebKit engine, toch? Chrome is aangepast om javascript sneller te kunnen uitvoeren.
Chrome deed wel mee maar kon niet gehackt worden.
Google Chrome en Safari draaien allebei WebKit als engine, dus denk dat Chrome net zo lek is.
Fouten kunnen in veel meer dan de render-engine zitten. Net zoals dat problemen met een auto niet aan de motor hoeven te liggen.
Simpel voorbeeld: buffer overflow bij inlezen van URL. Stukje code in de eerste 256 tekens zetten en "letter" 257 een jump maken naar "letter" 1.
De vierde grote browser, Opera, werd niet aangevallen.
Moet je dat letterlijk opvatten, in de zin dat er geen poging werd ondernomen om Opera te hacken, of lukte het niet om Opera te hacken?
Ik val eerder over de term "vierde grote browser". Volgens mij als je naar browser usage shares kijkt is het
1. IE
2. Firefox
3. Safari

en nummer 4....dat is Google Chrome! Opera komt pas op de 5e plaats.

(En dan gaan we ook nog eens voorbij aan het feit dat ws zowel IE 6 en 7 een plaatsje in een top 5 zouden hebben, als de verschillende versies werden uitgesplitst...)

[Reactie gewijzigd door Keypunchie op 19 maart 2009 22:31]

en nummer 4....dat is Google Chrome! Opera komt pas op de 5e plaats.
Hangt er helemaal van af welke statistieken je gelooft
http://gs.statcounter.com...ily-20080701-20090319-bar
En naar welk deel van de wereld je kijkt, kijk voorde grap eens naar Rusland.
(En dan gaan we ook nog eens voorbij aan het feit dat ws zowel IE 6 en 7 een plaatsje in een top 5 zouden hebben, als de verschillende versies werden uitgesplitst...)
Waarom zou je IE wel uitsplitsen terwijl je dat bij de rest toch ook niet doet in dit geval?

[Reactie gewijzigd door Ook al Bezet op 19 maart 2009 23:52]

Hmm.. als je bij dit linkje de statistieken van NL er bij pakt (en dan de lijngrafiek) Wat is er dan aan de hand op.. ongeveer 17 september. IE daalt dan ineens enorm, Firefox gaat voorbij aan IE, de andere browsers hebben ook allemaal een opleving (zei het kleinder) en de dag erop is alles weer zoals daarvoor.. Foutje in de statistieken???
Inderdaad, vreemd....

Ook toevallig dat het exact 1 maand na Firefox 3.0 DownloadDay is.... ( 14-08-2008 )
http://gs.statcounter.com...L-daily-20080901-20081001
http://www.spreadfirefox....008/08/01/month/all/all/1
chrome = safari dus die kun je wat dat betreft bij elkaar optellen.
chrome = safari dus die kun je wat dat betreft bij elkaar optellen.
In dat geval heeft netscape nog steeds aan marktaandeel van minstens 20% :p
Alleen IE8, Firefox, Safari en Chrome zijn getest, waarvan ze er alleen bij Chrome niet in zijn geslaagd een exploit te vinden ;) Opera was dus geen onderdeel van de competitie.

Verder is het Pwn2Own evenement nog niet over, zo zal er ook nog een contest zijn voor Windows Mobile, Android, Symbian, de iPhone en BlackBerry's, waar ook nog eens $10k bij valt te winnen.

Bron: Engadget
Een aanval kan slagen, of mislukken.

Wat hier staat is dat er geen aanval is geweest, dus geen poging....
Er is geen poging gedaan...
Het is wel duidelijk waarom Opera niet geprobeerd is, dat kon je leuk lezen in het stukje over mobile browsers (daar is Opera de nummer 1 met afstand)
Ze willen anmelijk ene overtuigende demonstarteie van Hackbaarheid, en tsja dan is Opera een lastige omdat het grotendeels in nagenoeg machinecode is geschreven, kijk maar eens naar het verschil in download grootte, Opera is zelfs met een volledige mail en newsclient, een bittorrentclient en nog wat functionaliteit slechts 6 Meg...

En zo een compacte code heeft gewoon minder hooks voor de hackertjes, logisch ds dat ze het niet eens durven, al zal het vast wel kunnen hoor, het kost dan alleen veel meer moeite om de code te ontcijferen.
Het is wel duidelijk waarom Opera niet geprobeerd is, dat kon je leuk lezen in het stukje over mobile browsers (daar is Opera de nummer 1 met afstand)
Ze willen anmelijk ene overtuigende demonstarteie van Hackbaarheid, en tsja dan is Opera een lastige omdat het grotendeels in nagenoeg machinecode is geschreven,
Je opmerkingen slaan kant nog wal. Opera Mini is geschreven voor Java, een virtual machine. Opera Mobile is geschreven in C++ en de Opera desktop browser is ook geschreven in C++. "Machinecode" (assembly) zit hier niet bij.
kijk maar eens naar het verschil in download grootte, Opera is zelfs met een volledige mail en newsclient, een bittorrentclient en nog wat functionaliteit slechts 6 Meg...

En zo een compacte code heeft gewoon minder hooks voor de hackertjes, logisch ds dat ze het niet eens durven, al zal het vast wel kunnen hoor, het kost dan alleen veel meer moeite om de code te ontcijferen.
Dat de code compact is geeft geen enkele extra garantie dat er geen/minder exploits gevonden zullen worden.

In tegenstelling tot wat de Opera fans denken, is Opera van de genoemde browsers gewoon niet populair genoeg.
ijdens een beurs over beveiliging vertoonden twee hackers hun kunsten door de beveiliging van de drie belangrijkste browsers, Safari, Internet Explorer en Firefox te omzeilen. De vierde grote browser, Opera, werd niet aangevallen.
Het is net als exploits vinden in Mac OSX. Ja, ze zijn er wel en er zijn er zat van. Echter, exploits vinden en misbruiken heeft zo weinig nut, door de lage penetratie van het OS in verhouding met een andere, grotere speler. Het is veel interessanter om voor het meest gebruikte platform exploits te vinden.

Nu ben ik absoluut geen Opera hater. Ik accepteer dat niet iedereen naar perfectie streeft door Firefox links te laten liggen. ;) Alle grappen opzij, Opera is zeker een geduchte concurrent en een waardig alternatief. Het voordeel van dat de browsermarkt nu openbreekt is dat er gezonde concurrentie is. Dit is alleen maar in het voordeel van de eindgebruiker.

[Reactie gewijzigd door The Zep Man op 19 maart 2009 21:04]

Het is net als exploits vinden in Mac OSX. Ja, ze zijn er wel en er zijn er zat van. Echter, exploits vinden en misbruiken heeft zo weinig nut, door de lage penetratie van het OS in verhouding met een andere, grotere speler.
Apple is tegenwoordig echt niet meer verwaarloosbaar klein hoor (5% van de markt, en dat zijn ook nog eens bijna allemaal consumenten, die geen IT beheerder hebben die het netwerk en de computer vooraf voor ze dichttimmert), en heeft als voordeel voor de hacker dat er zelden een virusscanner draait. Ik vond in elk geval laatst een aantal (blijkbaar automatisch door Safari gedownloade) .dmg trojans in mijn /Downloads folder met hele verleidelijke namen als "Apple critical update" enzo. Ik weet wel beter, maar je zal de mensen de kost moeten geven die zoiets gewoon openen (of via een slimme browser exploit automatisch voor hun neus krijgen), hun password ingeven, en nietsvermoedend deel worden van het zoveelste botnet.

[Reactie gewijzigd door Dreamvoid op 20 maart 2009 00:16]

Gelukkig is het gros van de osx exploits alleen uit te voeren onder de betreffende gebruikersaccount, een wildgroei aan local root exploits die via de browser uit te voeren zijn (zoals op windows) zijn er (nog) niet.

Het grootste gevaar voor de gemiddelde mac gebruiker is diezelfde gebruiker, het is nog steeds zo dat veel mac zealots denken dat osx onkwetsbaar is, net zoals veel windows zealots nog denken dat windows veel virussen/exploits heeft omdat het veel gebruikt wordt.
Persoonlijk denk ik dat opera gewoon een te kleine userbase heeft om gehacked te worden op zo'n event. Want hacken draait om respect, en als je dus een volgens jou ''moeilijk hackbare'' browser hackt, krijg je respect. Heeft verder niks met demonstratie van hackbaarheid of iets dergelijks te maken.
Wat heeft de userbase met de hoeveelheid respect te maken?
Opera staat bekend als een erg veilige browser, Explorer heeft wat dat betreft en beroerde reputatie.
Waarom zou je voor het kraken van IE dan meer respect krijgen?

Trouwens, Chrome hebben ze kennelijk wel geprobeerd en dat heeft nu ook niet direct een enorm marktaandeel.

[Reactie gewijzigd door Ook al Bezet op 19 maart 2009 21:08]

Wat heeft de userbase met de hoeveelheid respect te maken?
Opera staat bekend als een extreem veilige browser, Explorer heeft wat dat betreft en beroerde reputatie.
Waarom zou je voor het kraen van IE dan meer respect krijgen?
'Respect' in de zin van "kijk eens hoeveel potentiŽle slachtoffers voorkomen zijn door mijn vinding".

Een ernstig lek in Opera die in een redelijke tijd wordt gefixed heeft veel minder effect op het aantal gebruikers dan een ernstig lek dat in IE in een dezelfde tijd wordt gefixed.

[Reactie gewijzigd door The Zep Man op 19 maart 2009 21:06]

Moet de eindgebruiker zich nou zorgen maken of hoeft dat niet zo?
Hangt ervan af - een goede virusscanner beschermt je niet/nauwelijks tegen de exploit zelf maar zou je wel moeten beschermen tegen trojans die via deze exploits geinstalleerd worden. Als je zonder virusscanner werkt (zoals nog vele Mac en Windows gebruikers) dan is het uitkijken geblazen waar je precies heensurft (uiteraard loop je op torrent, cracks en pornosites iets meer risico dat ergens een exploitable jpeg ofzo in de pagina staat dan op yahoo.com en disney.com).

[Reactie gewijzigd door Dreamvoid op 19 maart 2009 23:28]

Wat is nu "gehackt" in dit opzicht? Uitvoeren van eigen code op een doelcomputer, uitvoeren van eigen code op een eigen computer? omzeilen van https? Ik vind hacken een iets te ruim begrip eigenlijk. (ga nu niet het stukje quoten dat het bij IE en FF om eigen code ging, want een addon kan je ook eigen code uitvoeren noemen)
Als je op de link in het artikel klikt staat daar te lezen:
Well after much discussion and deliberation here is the final cut at scenarios for the PWN2OWN competitions.

Browsers and Associated Test PAltform

Vaio - Windows 7

* IE8
* Firefox
* Chrome

Macintosh

* Safari
* Firefox

Day 1: Default install no additional plugins. User goes to link.
Day 2: flash, java, .net, quicktime. User goes to link.
Day 3: popular apps such as acrobat reader ... User goes to link

What is owned? - code execution within context of application
Als je eigen code uit kunt voeren dan kun je dus gewoon uit naam van het firefox-proces dingen uitvoeren op de PC van de bezoeker. Als je Windows draait betekend dat vaak dat je een virus te pakken hebt.
Dit is geen virus, dit zijn exploits waarmee je eigen code kan uitvoeren uit naam van het (door het OS vertrouwde) programma. Dit kan een simpel scriptje zijn als "stop alle documenten uit /Documents in een zip en mail het via Mail.app/Windows Mail naar hack0rz@yur0wned.ru" (wat onder Mac en Windows gewoon mag met enkel user rechten!). Komt geen virus aan te pas.

(nou is dit een wel heel primitief voorbeeld want het laat veel te veel sporen na)

[Reactie gewijzigd door Dreamvoid op 20 maart 2009 00:01]

dus ook scriptje > download confictor.exe van www.confictorvirus.ru en voer het bestand uit


oftewel, dit soort exploits worden vaak gebruikt om virussen op computers te installeren
Leuke Add voor dit verhaal, maar de site is (op mijn moment van browsen/schrijven) off-line gehaald, jammer.
Geen virus, een virus is vaak een (geinfecteerd) bestand op je pc. Dit is simpelweg een exploit (gebruik maken van een fout in een programma)

[Reactie gewijzigd door Ventieldopje op 19 maart 2009 23:18]

Als ik het elders goed begrepen heb, ging het, alleszins in het geval van de Mac, over het totaal overnemen van de controle over deze. Iets meer info hier.
Simpel gezien is hacken het onrechtmatig toegang verschaffen tot (delen) van iemands anders systeem.

Ik denk niet dat de gaten zullen worden gerepareerd naar aanleiding van deze resultaten, maar we kunnen hopen.
Code Execution Exploits zijn althans vrij ernstig, lijkt me niet dat ze die gaten open laten.
"Code execution in Application Context" klinkt ernstig, maar dat is een subtiele manier om de nieuwe beveiligingen van IE en Chrome weg te wuiven. Die Application Context is namelijk zelf afgeschermd (low integrity proces/eigen proces). Als je daar code kunt uitvoeren, dan kun je nog steeds niet alles. Zeker met IE8 is de Application Context tandeloos.
Ik denk niet dat de FireFox community deze gaten laat zitten.

Bij de "commerciele" jongens (IE, Safari) moet je maar afwachten.
Hmm, iedereen weet dat de beveiliging in zowat alle programmatuur wel te omzeilen valt. Zeker internetbrowsers. Maar is toch zeker weer een prestatie, ik zou niet weten hoe ze het doen :P
Is dit puur een wedstrijd of worden de bugs en backdoors die hier zijn gebruikt ook daadwerkelijk gedicht? Oftwel werkt dit evenement samen met microsoft, mozilla etc?

Lijkt me een prima manier om de goed verstopte bugs eruit te filteren :)
Het prijzengeld is voor het laten zien dat de exploit werkt, deze niet openbaar maken, en alles overgeven aan het betreffende bedrijf.
Wat een mooi iniatief is vind ik zo, hackers krijgen daardoor ook wat betere status en kunnen wat verdienen.
Zo ging er een hacker weg met 15.000 en het systeem waarop de exploit werd uitgevoerd (laptop).
Verder kan iedereen het proberen, en elke exploit is 5.000 waard.

Jammer dat Opera er niet in mee is genomen.

Twitter van het event
http://twitter.com/tippingpoint1
Als ze de sploits op de zwarte markt verkopen kunnen ze er zo 2 a 3 nullen achter plakken.

Die "prijzen" zijn niet bepaald respectvol.
Helaas mee eens, maar hopelijk wordt dit een stap dat hackers gewoon betaald worden. En als je wegloopt met 15000USD vind ik dat toch niet mis. Niet dat het een salaris is en ik weet niet hoe lang ze hebben gedaan over de sploits, het is toch wel goed geld, en je krijgt erkenning, waardoor je met wat geluk wordt ingehuurd door security bedrijf.

Ze kunnen het wel op de zwarte markt brengen en er meer voor krijgen, maar dat komt alleen de malware makers ten goede, en door de opbrengst deels de hackers, en voor de rest verliest iedereen.
Daarom moeten zulke evenementen vooral aangemoedigd worden.
Tjah ik kan ook beter illegale software ed gaan verkopen, verdien ik vast meer dan nu, maar wil ik dat ook?

Het verschil is dat dit prijzengeld volledig legaal is, je exploit verkopen op de zwarte markt is op zijn zachts gezegd dubieus... Die jongens willeng ewoon elgaal bezig zijn met hun hobby enz o verdienen ze er een leuke cent aan.
Als ze de sploits op de zwarte markt verkopen kunnen ze er zo 2 a 3 nullen achter plakken.

Die "prijzen" zijn niet bepaald respectvol.
Vrije markt economie moet je niet doorvoeren met 'concurreren' met criminelen dunkt me. Met illigale dingen valt veelal veel meer geld te verdienen dan met legale activiteiten, da's altijd zo geweest, en daarom is het ook altijd verleidelijk geweest om de criminaliteit in te stappen. Zeker als je geen cent te makken hebt.
De informatie over de lekken wordt verstrekt aan de leveranciers.
Volgens mij was het Microsoft security response team zelfs vertegenwoordigd op CanSecWest
Waarom hebben ze Safari 4 BETA genomen? Is het niet logisch dat daar meer bugs inzitten? Het marktaandeel van Safari 3 is toch pakken groter.
Had niet mogen baten denk ik, die hacker had dat lek al een jaar geleden gevonden in safari (dus waarschijnlijk in 3).
Aan de andere kant is het aannemelijk dat als er een lek zit in Safari 3, dat deze wellicht al gedicht is in Safari 4, of juist niet omdat dezelfde code wordt gebruikt.

Over het algemeen zijn beta browsers en beta OS-en niet per definitie minder veilig, de bugs die er in zitten zijn voor 99% aan andere zaken gerelateerd.
waarom hebben ze windows 7 genomen dan? Ik bedoel, dat is ook een beta OS, en het OS heeft ook invloed op de hackbaarheid van de browsers (zolang deze niet in een aparte sandbox draaien...)

edit: dit was een reactie op multimediacar

[Reactie gewijzigd door SleutelMan op 19 maart 2009 19:34]

Hoeveel zullen ze uitreiken voor een md5 secured area?

Deze is tot op heden toch niet gekraakt?

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*