Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties

Microsoft heeft 28.000 dollar uitgekeerd aan ontdekkers van lekken in Internet Explorer 11. Het is de eerste keer dat Microsoft geld geeft voor het rapporteren van beveiligingslekken, maar het 'bug bounty'-programma voor Internet Explorer is nu ten einde.

Microsoft Internet Explorer 9 logo (90 pix)In aanloop naar de release van Internet Explorer 11, riep Microsoft beveiligingsonderzoekers op om de software alvast te onderzoeken op kwetsbaarheden. In totaal kregen zes beveiligingsonderzoekers 28.000 dollar van Microsoft voor het vinden van bugs in Internet Explorer 11.

Daaronder was ook een Nederlandse beveiligingsonderzoeker, Peter Vreugdenhil, maar onduidelijk is wat de Nederlander kreeg voor het vinden van de bugs. Drie kwetsbaarheden werden gevonden door medewerkers van Google; zij doneerden hun beloning aan goede doelen. De beloningen liepen uiteen van 500 tot 5500 dollar; gezien het bedrag van 28.000 dollar is het aannemelijk dat vijf beveiligingsonderzoekers 5500 dollar kregen en een 500 dollar.

Veel andere bedrijven betalen al geld voor het vinden van kwetsbaarheden die risico's vormen voor gebruikers. Bij bijvoorbeeld Google gaat het echter om een doorlopend programma: het 'bug bounty'-programma voor Internet Explorer 11 is nu gesloten. Wel heeft Microsoft nog twee andere nieuwe programma's lopen. Wie een echt nieuwe manier weet te vinden om Windows 8.1 te kraken, krijgt 100.000 dollar; wie goede ideeën heeft voor de beveiliging, maakt kans op 50.000 dollar.

Moderatie-faq Wijzig weergave

Reacties (32)

Het staat gewoon vermeld wie wat gewonnen heeft:


Total bounties paid to date in 2013: Over $28,000!

James Forshaw, @tiraniddo, Context Security
4 Internet Explorer 11 Preview Bug Bounty - $4,400
1 Bonus for finding cool IE design vulnerabilities - $5,000

Jose Antonio Vazquez Gonzalez, Yenteasy - Security Research
5 Internet Explorer 11 Preview Bug Bounty vulnerabilities - $5,500

Ivan Fratric, Google, Inc security team
Internet Explorer 11 Preview Bug Bounty $1,100 - Donated to Save the Children Fund

Masato Kinugawa
2 Internet Explorer 11 Preview Bug Bounty vulnerabilities - $2,200

Fermin J. Serna, Google, Inc
1 Internet Explorer 11 Preview Bug Bounty $500 - Donated to Save the Seattle Humane Society

Peter Vreugdenhil, Exodus Intelligence
1 Internet Explorer 11 Preview Bug Bounty – Tier 1
Ik moet toegeven dat zijn erg leuke prijzen, enkel moet je denk ik best veel moeite doen om zo een lek te vinden ?
Als je 2 jaar bezig bent om Windows 8.1 te kraken, heb je alsnog 50k per jaar verdiend. Niet dat het zo eenvoudig is, maar als je er kennis en kunde van hebt en je de gok waagt, kan het je toch mooi een ton opleveren.
Dat is wel de overtreffende trap van freelancen.
Als je 2 jaar bezig bent om Windows 8.1 te kraken
Dan is iemand anders je waarschijnlijk al voor geweest en heb je helemaal niets verdient. Dit is net de loterij, je hoort alleen maar wie er gewonnen heeft, niet hoeveel deelnemers er waren.

Dit is leuk voor mensen die veel werken met Windows API's en toevallig ergens tegen aanlopen. Op deze manier worden ze aangemoedigd zo'n bug te melden i.p.v. het zal wel of nog erger het verkopen op de zwarte markt. Overigens kan het verkopen op de zwarte markt (of NSA :+ ) je nog steeds veel meer opleveren imho.

[Reactie gewijzigd door PuzzleSolver op 8 oktober 2013 10:16]

Tja, reken 100.000 dollar maar om in werkuren. Als je eenmaal zoiets vindt ben je ook echt binnen. Er bestaan bedrijven die volledig kunnen leven op dit werk, fulltime zoeken naar kwetsbaarheden in programma's.
Als je eenmaal zoiets vindt ben je ook echt binnen.
Dat vind ik redelijk onwaar moet ik zeggen. Ik heb ooit iemand gesproken die bij zo'n bedrijf werkt in Nederland. Daar is het gemiddelde maandsalaris boven de § 6.000 bruto.

$ 100.000 is volgens de huidige koers § 73.730. § 73.730 / § 6.000 = 12,28 maanden. Je kan van dat geld dus 1 jaar lang 1 engineer betalen, exclusief alle overige kosten die een werkgever nog betaald voor een werknemer. In de praktijk kom je ongeveer op max. 8 maanden uit.

Om nou te zeggen dat je dan 'binnen bent'. Het is leuk als je zoiets ontdekt als hobbyist of ZZP-er. Maar niet als commercieel bedrijf met hoog gekwalificeerd personeel.

Edit: typo

[Reactie gewijzigd door Bux666 op 8 oktober 2013 10:30]

Vupen is een van de bekendste cq. beruchtste die dit doet. Ze doen het alleen niet om software beter te maken. De lekken die dit soort bedrijven vinden verkopen ze eerder aan de hoogste bieder, waarbij het niets uitmaakt dat die bieder minder goede bedoelingen heeft. Ergens vermoed ik dat die nog meer betalen dan zo'n programma van Microsoft of Google.

Dat is ergens ook het probleem met wedstrijden als Pwn2Own. Je moet een hack bekend maken, maar de andere mag je geheim houden. Je krijgt wel je prijs. Dus hebben software fabrikanten er niets aan. Google had een betere insteek, je krijgt alleen je prijs als je alle details van je exploit bekend maakt.
Zo zie je maar, je software hoeft niet open-source te zijn om veilig te zijn. Integendeel, ik denk dat deze manier veel veiliger is. Geef mensen gewoon geld als ze het kraken en vertellen wat het is, ipv. alles open en bloot gooien.
Behalve als je geen shitloads aan geld hebt en je toch een succesvol project wilt hebben, dan word het misschien toch wat lastiger
De sterkte van open-source is toch niet per definitie om veilig te zijn ? De meeste code die ik schrijf gooi ik op het web, daar kijkt niemand naar de veiligheid; het gaat om delen van ideeŽn;

Ik denk ook niet dat het veiliger is, net omdat die hacks allemaal zonder de achterliggende code te kennen, gebeurt; Zodra je volledig inzicht hebt in de werking van een programma is het pakken eenvoudiger om m.b.v. een hack controle erover te nemen.

Ik vind het wel goed dat er betaald word voor mensen/bedrijven die hacks aangeven.
Open Source is ook een goede voorbeeld van openheid van wat je maakt. En er dus niet geheime zaken in te gooien waar niemand achter komt
Het duurt natuurlijk langer en er wordt minder ontdekt. Bij open source kan je de bron code gaan naspeuren en geloof me zelfs dat kan nog knap lastig zijn. Zonder bron code moet je gaan gokken; wellicht met trial && error gaan werken of assembly code doorspitten. Je had vroeger 2 gasten die werkten bij ntinternals en die hadden soms een dag nodig om 1 functie te reverse engineeren.

[Reactie gewijzigd door gast128 op 8 oktober 2013 11:01]

Ik ken nog 'hacks', die sinds winxp/vista/7 werken. Ik heb het nog niet getest op 8, en ben het ook niet van plan. Mensen zouden hier een aardige zakcentje mee kunnen verdienen.
Waarom zou je ze niet testen op Windows 8? Stel dat het lukt heb je even mooi 100.000 dollar verdient. Ik snap niet waarom niet.

OnTopic:

Mooi dat op deze manier fouten kunnen worden verholpen in een programma, dit lijkt mij toch echt een van de beste manieren. Personen die deze problemen willen oplossen, worden flink gepushed door deze mooie som geld.
maar wat zijn dat dan voor 'hacks'? Programma's oid die je zelf moet starten zijn geen hack's hŤ...

Noem eens een voorbeeld, wat voor hack's ken je? (dan dien ik hem wel in :9)
Waarschijnlijk heeft hij het over die struukjes, om met een usb een portable OS te laden op een windows pc, en dan in the bestanden van windows, Cmd.exe te kopieren naar bijv. plaktoetsen als je windows dat opstart kun je via plaktoetsen in te schakelen (Gewoon op shift rammen) een cmd openen van het hoogste level, waarmee de dan het w8woord kan resetten of een nieuw admin acc kan aanmaken. Kortom gewoon alle truukjes die op bijv. hackforums te vinden zijn.
ja, maar valt dit onder hacks? want je hebt fisieke toegang tot de pc...

met secureboot en bitlocker moet dit niet mogelijk zijn.
Nope! alhoewel wel een leuke hack!
Leuk bijbaantje voor de NSA. // Slecht

Waarom gebruiken ze hier eigenlijk geen in-house developers voor? Lijkt me makkelijker de fout te vinden als je ook even kan koekeloeren in de bron. Of is het ook een beetje PR?

[Reactie gewijzigd door krosis op 8 oktober 2013 09:13]

Omdat je toch altijd een soort van Wij van WC-eend manier van werken hebt.

Ik merk het ook aan mijn eigen code. Ik test alles door, maar toch weet onze tester vaak nog puntjes te vinden die ik niet gevonden heb.
Ik vind het nogal een goedkope manier om je software op lekken te testen, een gemiddelde pro vraag al dubbel zo'n bedrag in z'n eentje, ik denk ook dat het z'n doel voorbij streeft want ik denk dat de jongens die echte lekken vinden eerder die lekken zelf gaan exploiteren en doorverkopen dan dat ze een zakcentje van Microsoft er voor op gaan strijken
Ach, deze prijzen zijn altijd beter dan die van yahoo die laatst tegoedbonnen van 12,50 uitdeelde. Haha
Wat een rare aanname m.b.t. de bedragen, sinds 500 gewoon in 25.000 past weet je daar nog helemaal niets van.
op de zwarte markt krijg je meer voor een lek ^^
True, maar dan ben je strafbaar ;)

En als je dit maar vaak genoeg op de correcte manier doet, worden de beloningen wellicht alleen maar hoger en het staat veel beter op je cv
It's not a bug, it's a feature.
Je kunt niet zomaar de conclusie trekken dat het strafbaar is. De algemene voorwaarden hebben in Nederland en grote delen van Europa weinig waarde, je kunt daar dus niet zomaar op terugvallen als iemand een lek vindt.
Maar is dat niet altijd zo? Alles wat niet legaal is verdient meer? Ik denk dat dat juist de motivatie is van criminelen.
Nog even en er komt een Microsoft Summer of Code.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True