Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 88 reacties

Microsoft looft maximaal 100.000 dollar uit voor personen die nog onbekende lekken kunnen vinden in de Preview-versie van Windows 8.1. Ook belooft de softwaregigant beloningen voor aangetoonde beveiligingsproblemen in Internet Explorer 11.

Windows logoHet beloningsprogramma start op 26 juni, de dag dat de Preview van Windows 8.1 beschikbaar komt. Microsoft belooft maximaal 100.000 dollar te geven aan personen die een 'geheel nieuwe exploit' kunnen vinden in de testversie van Windows 8.1. Daarnaast is er een beloning van 11.000 dollar voor aangetoonde kwetsbaarheden in Internet Explorer 11. Deze beloning kan gedurende een maand worden geclaimd. Ten slotte looft Microsoft maximaal 50.000 dollar uit voor nieuwe ideeën om exploits juist te voorkomen.

Microsoft zegt met het beloningsprogramma eventuele bugs en veiligheidsgaten in Windows 8.1 sneller te kunnen ontdekken, het liefst nog in de bètaperiode. Het softwarebedrijf erkent dat het zeker niet het eerste softwarebedrijf is een beloning uitlooft aan personen die kwetsbaarheden melden. Bedrijven als Google, Facebook, Mozilla en PayPal geven al enkele jaren beloningen voor bug disclosures. Microsoft stelt echter dat de meeste bedrijven geen beloningen uitkeren voor bètasoftware.

Gerelateerde content

Alle gerelateerde content (23)
Moderatie-faq Wijzig weergave

Reacties (88)

Het eerste lek: een domme user.

Mag ik ff vangen? Graag gedaan.
Dat is geen lek in Windows ;)
Sterker nog, zelfs hier heeft Windows beveiliging voor:

Weet u zeker dat u deze actie wenst uit te voeren? Ja of nee?

Als user dan nog steeds op ja klikt houd het voor Microsoft ook snel op.

Als je bij afwezigheid je deur wagenwijd open laten staan met een uitnodigingsbord voor de ingang waarop staat: "Inbrekers welkom" moet je ook niet mopperen dat je huis word leeggehaald.
En precies dat is de grond waarom omze eindgebruikers niet meer LEZEN. Weet je het zeker? Echt waar? 100%? ( zo komt het op de eindgebruiker over). Dus we klikken ja ja ka volgende volgende ja ja volgende accepteren ja ja.... want die meldingen zijn zo irritant! |:(

De gebruiker blijft het zwakste punt omdat de gebruiker in het algemeen lui is en denkt (weet) dat je bijna alles ongestraft kan doen omdat het toch weer van ons (de IT) weer goed gemaakt wordt.

ONtopic :

Goed plan van MS, dat geld hebben ze. Belangrijkste deel van ontwikkeling is testen testen en testen.
Prima initiatief! :) dan kunnen ze wellicht eens lekken/bugs voorkomen i.p.v. naderhand patchen. Plus dat dit soort acties mensen juist prikkelt om actie te ondernemen.
Zeker een goed initiatief. Zolang de beloningen van softwarebedrijven zelf hoger of gelijk zijn aan de opbrengsten van exploits in het criminele circuit blijft het voor hackers aantrekkelijk om bugs te melden bij de softwarebedrijven.
Gelijk of hoger dan de opbrengsten van exploits voro het criminele circuit zijn deze prijzen zeker niet, daar praat je echt over vele miljoenen voor goede exploits. Wel kan het legaal verdienen van geld wel een meerwaarde hebben over het zwart verkrijgen (en helpen) van ilegale organisaties.

Dit soort initiatieven kan ik alleen maar toejuigen, dit is ook een goed teken in de richting dat bedrijven zelf verantwoordelijkheid hebben over hun netwerk/software etc. En wanneer ze dus gehacked worden die niet per se (alleen) bij de hacker neerleggen.
als ik een lek vind, weet ik ook niet waar ik ermee heen zou moeten om die miljoenen op te strijken. hoe kom je ooit aan zulke (betrouwbare) kanalen? (ik kan trouwens niets vinden hoor, ben geen expert)
Toont op zich ook wel dat ze (terecht) veel vertrouwen hebben in de beveiliging van Windows 8.1
Goede marketing, mooie stunt, en als iemand toch iets vindt, goed verdiend ;-)
Misschien krijgen de hackers dan wel een stage bij Microsoft. Zou leuk zijn!
Goede zet van Microsoft. Whitehat hackers moet je belonen, niet vervolgen. Nog een gigant die een stap in de goede richting zet. Hopelijk volgen er nog vele.
Ik vind geldprijzen voor het vinden van bugs inderdaad een goed idee. Google houd haar browser op die manier al heel lang heel veilig en zulke bedragen zij voor zo'n bedrijf peanuts vooral als je er gezichtsverlies van onveilige software mee voorkomt.

Waar ze dan wel mee moeten kappen zijn die vaste patchrondes maar gewoon patchen als er lekken zijn...
Dan gaan systeembeheerders haten. Nu kun je nog anticiperen op de te deployen patches. En als het echt erg is brengen ze een hotfix of iets dergelijks uit.
Ik ben een sysadmin en zou niet weten waarom ik daar last van zou hebben. Daar hebben ze WSUS voor uitgevonden...
Het verkopen van bugs is altijd geld waard geweest, alleen niet bij microsoft. Maar hackers verkopen al sinds jaar en dag aan criminele organistaties voor tonnen aan exploits. En dat is helemaal niet gunstig voor microsoft, dus koopt MS ze liever zelf. Daarbij komt dan ook nog heel handig dat je precies weet wie de personen zijn die jouw OS hacken, mensen die nu anoniem zijn.
Ik denk dat met zulke bedragen zelfs de criminele hackers achter hun oren gaan krabben of ze de gevonden exploit niet gewoon zelf moeten melden bij Microsoft.
Aan MS kun je je exploit maar 1 keer verkopen, verkoop je aan andere klanten dan kun je een exploit meerdere keren verkopen omdat je klanten dat van elkaar niet weten ...
Als je het dan echt slim doet verkoop je het eerst aan andere klanten en uiteindelijk aan Microsoft. Maximaal incasseren en nog met een goed geweten gaan slapen ook ;)
Inderdaad zeg. Oplichten van oplichters dus. Min en min is plus toch? Met deze methode zal er dus weinig te halen vallen voor die oplichters en als developer heb je maximale inkomsten.
definitie whitehack is altijd in opdracht van het bedrijf en houd zich aan de gemaakte afspraken, dus die kun je nooit vervolgen;)
Tot op zekere hoogte.
Zolang het gaat om inbreken op systemen waartoe je authorisatie hebt.
Ik denk dat Google Medewerkers nu hard op zoek zijn naar bugs in Windows voor een extra loontje :)

Het waren toch echt zo'n google medewerker die veel bugs vond. Het gekke is.. bij Google gebruiken ze helemaal geen Windows haast. Het is Gnu/Linux en OSX wat de klok slaat.
Whahahahaha! Als hun 'bugs' zoveel waard zijn, waarom laten ze die anderen dan zoeken als ze die zelf ook kunnen maken?

Beetje backdoor is ook meteen zo gemaakt dat die niet door anderen (makkelijk) misbruikt kan worden. Sorry hoor, maar je bent wel een beetje extreem paranoïa...

Ontopic:
Wauw. Google heeft de trend gezet! Ik vraag me af of dit een goodwill-campagne is, of dat ze hier serieus dingen mee willen oplossen. Ik kan me zo voorstellen dat een bedrijf als Kaspersky hier wat aan kan verdienen ...
Ik kan me zo voorstellen dat een bedrijf als Kaspersky hier wat aan kan verdienen ...
Ik denk van niet. Dit is zoiets als een "Share en like"-actie: Als duizenden mensen voor Microsoft bugs gaan zoeken en het kost ze maximaal 100.000 zijn dat hele goedkope arbeidskrachten. Wellicht zijn de medewerkers van Kaspersky een stuk vaardiger in het vinden van bugs, maar zelfs als ze honderd keer zo snel zijn: 100.000 euro aan manuren is geen gigantische hoeveelheid.
Het is één ding om geld te geven aan mensen die lekken vinden. Het is een ander ding om die lekken ook te patchen.

Het is al meermaals voorgevallen dat een Google engineer een lek publiek maakte omdat Microsoft er te lang over deed om die te patchen, of het zelfs helemaal niet deed.

Nuja, 100.000 is wel peanuts ivm de miljoenen die Google uitgeeft.
Whahahahaha! Als hun 'bugs' zoveel waard zijn, waarom laten ze die anderen dan zoeken als ze die zelf ook kunnen maken?
De beste truuk van de duivel was/is dat hij doet of hij niet bestaat.

Skype was niet af te luisteren, alleen werkten ze wel zElf aan een ingebouwd aftapje..

Zou me niks verbazen als er wat makkelijke exploits inzitten, en dat er dus OP ZEKER wat gevonden gaat worden.

Voor 1 a 2 ton aan free publicity EN het idee van je klanten dat je goed bezig bent, best gehaaid...
Dat is natuurlijk het beste wat MS kan doen, publiek bekende problemen door verkopen aan de NSA.

Als je nu die problemen zoekt en meld, dan worden die wel gefixed zodat de NSA ze niet kan gebruiken.

Iedere bug die MS weet en die niet gevonden word, tja, dat is een ander verhaal.

Dus, ga zoeken en help mee de wereld minder te laten bespieden.
Google heeft er ook belang bij dat Windows veilig is. Dat ze er een paar mensen op de loonlijst hebben die hiernaar op zoek zijn is misschien werken voor de concurrentie, maar het eigen belang zal groter zijn. Het kweekt goodwill, het maakt Windows veiliger voor hun eigen klanten, voor henzelf voorzover ze het nog gebruiken, en een aardige sneer naar Microsoft kan natuurlijk ook geen kwaad.
ze zouden het ook kunnen gebruiken om hun OS android te promoten
en een x86 versie te maken die je makkelijk van af een pc kan draaien al dan niet virtueel
Ik snap wat je bedoelt, maar Microsoft verkocht alleen bugs die niet publiekelijk bekend waren. In dit geval worden de bugs wel bekend als je een bug aanmeldt.
Denk je?
Mitigation Bypass Bounty. Microsoft will pay up to $100,000 USD for truly novel exploitation techniques against protections built into the latest version of our operating system (Windows 8.1 Preview)
BlueHat Bonus for Defense. Additionally, Microsoft will pay up to $50,000 USD for defensive ideas that accompany a qualifying Mitigation Bypass submission.
M.a.w. de hoogste prijzen zijn alleen voor echt unieke, innovatieve en erg moeilijke exploits die de beveiligingen van Windows omzeilen. Windows is trouwens echt niet zo onveilig als je denkt. Het valt niet onder 'beveiligingslek' wanneer gebruikers uit eigen initiatief virussen installeren.

Wanneer is de laatste keer dat je op Windows een virus kreeg zonder dat de gebruiker er voor iets tussen zit? Windows heeft erg geavanceerde beveiligingstechnieken die niet zo maar te omzeilen zijn. Het is dan ook regelrecht fout om te zeggen dat Windows onveilig is. Gebruikers zijn spijtig genoeg (door te lakse policies e.d.) meestal de oorzaak dat het systeem geïnfecteerd raakt. Als je dan kijkt naar bv. de exploit op OS X een tijdje geleden, waar malware zich kon installeren door alleen naar een website te surfen, merk je dat dit op Windows niet zo maar klaargespeeld raakt.

[Reactie gewijzigd door HuRRaCaNe op 20 juni 2013 16:15]

@HuRRaCaNe

Maar dat is een vrij nutteloze vraagstelling. De vraagstelling zou moeten zijn, wanneer kreeg een gebruiker een virus terwijl hij normaal op het internet zat te browsen met een volledig bijgewerkt systeem inclusief AV etcetera.

Het antwoord, onlangs nog. Kreeg het Citadel virus via nu.nl Toch was mijn systeem volledig bijgewerkt inclusief AV (Trend Micro).

En dan ligt het jou inziens ineens aan mijzelf? Gebeurde dat niet zomaar vanzelf omdat ik naar een website surfde?

edit: typo

[Reactie gewijzigd door wiseger op 20 juni 2013 16:49]

Was het niet via java/andere browser plugin? Had je UAC aanstaan en kreeg je geen melding?
Indien ja op alle vragen, dan is het inderdaad een echte Windows bug, en die komen echt niet zo heel vaak voor.
Echter gaat het antwoord in meer dan 99% van de gevallen Neen zijn. En dan is het niet echt een probleem met Windows maar met de software die jij vertrouwd.

Als je java toestaat, ga je er vanuit dat java niet toestaat om virussen te installeren.
Als je een applicatie opstart, ga je er vanuit het niets verkeerd doet.
Begrijp echter dat alle applicaties die je opstart dingen kunnen doen waar je niets van afweet. Op het moment dat je de applicatie opstart, vertrouw je echter dat het dat de ontwikkelaar de applicatie enkel doet doen wat je verwacht dat de applicatie doet.
Ik kan een applicatie bouwen die wat gifjes laat zien, echter op de achtergrond ook wat bestanden verwijderd/encrypteerd/upload, ... De ontwikkelaar kan uiteindelijk doen wat ie wilt.

[Reactie gewijzigd door Tom V op 20 juni 2013 16:52]

Evengoed hoort java onder user mode (dus UAC aan) niet aan de system files te kunnen!

Het zou niks buiten de mappen van de user (en tmp) horen te kunnen. Als dat wel kan deugt het OS niet

[Reactie gewijzigd door hackerhater op 20 juni 2013 17:54]

Evengoed hoort java onder user mode (dus UAC aan) niet aan de system files te kunnen!

Het zou niks buiten de mappen van de user (en tmp) horen te kunnen. Als dat wel kan deugt het OS niet
Maar dat was niet het geval, dus wat probeer je nu te zeggen?
Ik had het niet over dat virus maar in het algemeen. Wat de programma's of frameworks ook doen, het OS hoort de toegang tot de systeem mappen te blokkeren als het programma onder user rechten draait.

Ik heb situaties van Win 7 gezien dat hitman pro onder user rechten doodleuk in het hosts-bestand kon schrijven terwijl UAC aan stond.
Terwijl ik er met kladblok via run as administrator niks aan kon veranderen :S Hoezo goede beveiliging?

De benadering die MS heeft gemaakt met UAC is ook compleet verkeerd. Ze hadden grafische login als beheerder standaard moeten blokkeren en moeten afdwingen dat je UAC gebruikte a la sudo onder Linux.

Het is tenslotte veel gemakkelijker om maar 1 proces hogere rechten te geven en de boel default te blokkeren, dan via een laagje alle draaiende processen lager zetten. Dat laatste is vragen om fouten omdat je mogelijkheden vergeet!
Ik begrijp je ook niet helemaal @HackerHater; indien UAC aan stond was je voor zover ik kan herinneren namelijk niet vatbaar.
Er zit dan ook weer een verschil tussen gewone, bekende lekken en 0-day lekken, welke Microsoft hier eigenlijk zoekt. Bij nu.nl ging het om dat laatste.
Helaas is er nog wel software genaamd Java welke dit wel gewoon toelaat...
Sinds wanneer is Java onderdeel van Windows? Het is zelfs niet eens van Microsoft...
Zal ook wel meevallen. Volgens mij was de laatste makkelijke exploit de truefonts bug. Onder het mom van iedere dev laat wel eens een steekje vallen, zal er nog wel wat te halen zijn ;)
Niet een leak, als in een gelekte release, maar lekken in de release ZELF. Zoals beveiligingslekken.

Goed lezen ;)
titel is wel een beetje misleidend.. :P
ik dacht serieus dat iemand windows 8.1 had gelekt..
Misleidend?
Microsoft looft 100.000 dollar uit voor melden van lek in Windows 8.1
Wat er staat is 'Onvoltooid Tegenwoordige Toekomende Tijd", dat is niet misleidend, dat heet beter lezen - of je taal kennen. ;)
Dit had ik niet zien aankomen. Is het in de VS niet normaal om mensen die een lek vinden juist meteen aan te klagen? Komt Microsoft toch eens met een behoorlijk goed voorbeeld. Petje af.

[Reactie gewijzigd door Amanoo op 20 juni 2013 16:31]

Zo hebben de hackers geld om de gerechtskosten te betalen.

Nee, serieus, waarom zou het illegaal zijn om lekken te melden?
Ik zeg niet dat het bij uitstek illegaal is, alleen zijn er behoorlijk wat white-hat hackers geweest die flink de vernieling in zijn aangeklaagd nadat ze in een systeem een lek vinden. Veel bedrijven, in plaats van de lekken te fixen, stoppen liever dat soort lekken in de doofpot samen met een flinke rechtszaak als voorbeeld voor zowel goedwillende als kwaadwillende hackers. Die laatste groep weet toch al dat ze verkeerd bezig zijn en trekt zich weinig van die gebeurtenissen aan.
Je moet aantonen dat je een geheel nieuwe lek hebt ontdekt. ms vs een persoon, met andere woorden ze bepalen of je geld krijgt of niet ook al het echt niewuw is. vertrouw dit sowieso niet. als je iets submit kom je hoogwaarscheinlijk sowieso in hen databaseje.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True