Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties
Submitter: rusman

Facebook en Microsoft gaan de Internet Bug Bounty van hackerOne, een samenwerkingsverband van techbedrijven om de stabiliteit en veiligheid van het internet te vergroten, financieel steunen. Zo kunnen melders van een veiligheidslek beloond worden.

Op de website van hackerOne kunnen onderzoekers beveiligingsproblemen melden voor verschillende technologieën die veel gebruikt worden op internet zoals php, Apache of Python. Per technologie wordt er een minimumbedrag uitgeloofd. Apart daarvan kunnen hacks worden aangeleverd die een sandbox-beveiliging kunnen omzeilen. Veel browsers draaien bepaalde content die eventueel een bedreiging kan vormen, in een zogeheten sandbox om deze van de rest van het besturingssysteem af te schermen.

Ook is het mogelijk om algemene veiligheidsproblemen voor 'het internet' zelf te rapporteren. Het moet dan gaan om een lek dat producten van meerdere fabrikanten treft, veel gebruikers raakt en vooral een gevaar vormt voor het internet als geheel. Als voorbeeld noemt de organisatie onder andere de Beast-exploit uit 2011 waarmee versleutelde ssl-verbindingen konden worden gekraakt. Voor aanmeldingen in deze categorie is de minimumbeloning 5000 dollar.

HackerOne is een samenwerkingsverband van Facebook, Microsoft, Google, beveiligingsbedrijf iSec Partners en Etsy, een grote webshop. Facebook en Microsoft steunen het initiatief financieel, de andere bedrijven leveren alleen medewerkers. Onderzoekers van die bedrijven zullen gezamenlijk de aanmeldingen analyseren, daarnaast kunnen zij assisteren bij het publiceren van informatie of het coördineren van de reparatie van het lek als daar veel verschillende partijen bij zijn betrokken.

Veel bedrijven hebben programma's waarmee zij ontwikkelaars aansporen beveiligingslekken te melden door daar een beloning tegenover te stellen. De Internet Bug Bounty is in het leven geroepen omdat zo'n programma er voor sommige technologieën, die veel worden gebruikt op het internet, niet is. Ook is voor het oplossen van sommige beveiligingsproblemen vereist dat verschillende organisaties nauw samenwerken.

Moderatie-faq Wijzig weergave

Reacties (23)

HackerOne is opgezet door Nederlanders, dus zeker het vermelden waard. Zie ook de WHOIS van het domein. Knap staaltje werk van deze landgenoten!
Toevallig ken ik de mannen al een tijdje en Jobert en Michiel zijn al jaren actief in de security research wereld (hackers die je betaald). Ze zijn in hun studietijd onder andere naar binnengewandeld bij Blackboard. Ze paste vervolgens niet hun cijfers aan maar schreven daar een rapport over en gingen met BB aan tafel zitten.

Ze zijn al jaren bezig met dit concept met slecht 1 doel: betere software en goede beveiliging (van oa jouw persoonsgegevens).

Ze hebben al deze partijen (bij elkaar!) aan tafel gekregen omdat er geen goede plek is voor hackers om een (white) reputatie op te bouwen (al helemaal niet tegen betaling). Dit is een prachtige centrale omgeving waar mensen software ook voor release kunnen laten testen. Geweldig dat dit uit Nederland komt en ik ben trots op de mannen.

Nog wat overwegingen over geld verdienen als hacker:
  • Wat denk je dat een security expert in the valley verdient bij een MS of Twitter?
  • Wat is een goed exploit of toegang tot de Facebook systemen waard op Silkroad?
Kan je vertellen dat het meer is dan je verdient met het opzetten van je eigen startup ;)

[Reactie gewijzigd door Ma_rK op 7 november 2013 22:14]

Wel een beetje karig - 5000 euro als minimum-bedrag als je een exploit meldt die het HELE Internet zou kunnen treffen. Natuurlijk, het is maar een minimum, maar benieuwd ben ik dan naar wat een gemiddelde of maximum zou zijn. Zeker dit soort grote bedrijven hebben profijt bij een stabiel en goed werkend Internet.
Zeker, daar kan je nog wel een redelijk aantal nullen achter zetten als je gaat leuren bij de diverse veiligheidsdiensten of misschien ook bij criminelen.
Misschien tijd om die 'veiligheidsdiensten' kapers (privateers/corsairs) te gaan noemen.

[Reactie gewijzigd door Henk Poley op 7 november 2013 16:54]

Goed initiatief! 5 initiatiefnemers, een hele wereld die er van profiteert:)
Goeie zaak. Langzaamaan worden "hackers" steeds serieuzer genomen en worden de incentives eens goed doorgelicht.

Wat mij betreft kunnen overheden en zorginstellingen hiervan leren. Ik zou het bijvoorbeeld toejuichen als de NL overheid zoiets zou instellen. Moet je opletten hoeveel lekken er ineens in overheidssystemen worden gevonden.

Ook zou ik het goed vinden als instellingen zulke bij wet gedwongen worden zulke bountyprogramma's in te voeren. Op die manier wordt het een winstgevende zaak om de security op orde te hebben, en denken bedrijven ook wel twee keer na voordat ze alle mogelijke klanteninformatie gaan opslaan "gewoon omdat het kan". Een te grote hoeveelheid aan informatie wordt immers een risico voor het bedrijf, ipv alleen een risico voor de klant.
Ze zouden hier een crowdfunding van moeten maken. Ben best bereid af en toe wat geld in te leggen voor een more secure internet!
Dit lijkt vooral voor show. Als ze nou eerst een de bugs die gemeld worden zouden fixen. Bij dit project worden er ook allerlei eisen gesteld, het zou jammer zijn als ze dit als een excuus zouden gebruiken. Er is een loket voor het melden van veiligheidslekken dus nu hoeven die bedrijven zelf niets meer te doen. En als het niet binnen de gestelde voorwaarden past (zo ongeveer alle veiligheidslekken dus) kan het genegeerd worden.
Beetje offtopic, maar wat we hier continu zien is het aanpakken van de gevolgen. Hoe lang moet het duren voordat we de oorzaken gaan aanpakken? Eenieder die een beetje ervaring heeft, weet wat ik bedoel. Maar toch blijven we om de hete brei heen fietsen.
Ik heb wel een beetje ervaring (ervaring met wat? koekhappen?), maar welke oorzaken bedoel je hier? Je wil alle hackers opsluiten? Gegarandeerde bug vrije software schrijven?
Gisteren kwam het bericht dat door een fout in het lezen van een tiff file, een besmette tiff file het systeem kan overnemen. Dit geldt weliswaar voor oudere MS software, maar toch.

Zo rond 2000, toen Windows NT uitkwam, schreef men in Computer!Totaal nog het volgende: Qua bescherming tegen malafide code biedt MS Dos een t-shirt, Windows 95 een kogelvrij vest en Windows NT een pantserwagen.

Sindsdien kwamen er, door de jaren heen, wekelijks, zo niet dagelijks, berichten over bugs, lekken waardoor malafide code veel kwaad kunnen aanrichten. Met MS software voorop, maar ook Linux en (in mindere mate) ook OS/X.

Het probleem is namelijk dat geheugengebieden niet goed genoeg afgeschermd zijn. Dit is een gevolg van de monolithic kernel. Een microkernel zoals Minix 3 heeft hier geen last van. En vooral Minix 3 is interessant omdat hier zoveel veiligheidsfeatures standaard zijn ingebakken.

Kijk ook naar dit (wel lang) en dit (vanaf 4:00) filmpje, dan begrijp je wat ik echt bedoel.
Behalve de kernel scheelt ook de architectuur van de processor en van de computer een hoop.

Probleem is dat het erg lastig is om in een grote markt van bestaande technieken, nieuwe niet uitwisselbare technieken in te voeren.
Probleem is dat het erg lastig is om in een grote markt van bestaande technieken, nieuwe niet uitwisselbare technieken in te voeren.
Minix 3 heeft de NetBSD userland. Als iets op *BSD werkt, zal het niet zoveel moeite kosten om het op Minix 3 te laten draaien. Een vlaggetje in een Makefile en dat soort dingen. Open Source biedt hier voordelen.

Bestaande technieken zal je *altijd* blijven achtervolgen. Dat is zo helaas. Toch zie je ook verschuivingen naar nieuwe platformen. ARM bv en de Google Operating Systems.

Er wordt echter IMO te weinig gewerkt aan strikte scheiding van taken en ook te weinig aan bloat, de twee grootste problemen mbt vulnerabilities.
Het probleem met micro-kernels zoals Minix is nog altijd performance.
Bovendien lost een microkernel enkel een beperkte set security problemen in de kernel op. Vulnerabilities in userland code los je niet op met een microkernel.

Eigenlijk verplaats je gewoon het probleem en deel je het op in kleinere stukjes. Maar fundamenteel wijzigt er weinig. Een bug in de filesystem code kan nog altijd binaries zo corrumperen dat je malware injecteert in bestaande binaries. Je moet ook telkens messages passen die dan geparsed moeten worden. Etc.

Je verkleint de attack surface, maar niet in die mate dat het performance verlies het waard is.
Microkernels zijn wel degelijk het antwoord op een hoop problemen. De performance issues zijn verwaarloosbaar klein. Vergeet niet dat we zo'n krachtige processoren tegenwoordig hebben.

In de kernel wordt bv geen memory gealloceerd gedurende de levensduur. Geen buffer overruns dus in de communicatie.

Maar ik stel echt voor om de filmpjes te bekijken die ik in een vorig bericht heb vermeld. Dan wordt een hoop duidelijk. En het is nog leerzaam en grappig ook. Wat wil je nog meer ;)
Noem eens een oorzaak met bijbehorende "goede aanpak"?
Nogal een vreemde beredenering. Je kunt lekken in software ook gewoon zien als een oorzaak. Zonder lekken geen misbruik ervan.
Dit werkt ook nog eens op de lachspieren want eigenlijk zeg je dat je geen vertouwen hebt in je eigen bedrijf/personeel.

De hackers die zero day hebben gaan dit niet melden. Dan komt het neer op goedkope arbeidskrachten die jou kreupele malware moet testen zodat "ïedereen" veilig is.

Er wordt al dagelijks waarschijnlijk gemeld in sommige gevallen kan je gewoon terug vinden van meldingen die gedaan zijn waar MS en of andere bedrijven het gewoon links lieten liggen tot dat iemand die dit niet zo netjes vond en het publiekelijk maakte.

Bedrijven die hier aan mee werken zijn disputabel. Zou er zelfs een verkapte vorm van werving achter zoeken.
Volgens mij leverd het nog altijd meer op om deze informatie te verkopen aan kwaadwillende criminele super organisaties ;) Mocht je een heel sick lek binnen de overheid vinden, ben je binnen een mum van tijd milionaire en wordt je opgepakt. Maargoed :P

Het initiatief is zeker goed! Helemaal voor de hackers die etisch verantwoord hacken :)

[Reactie gewijzigd door Dr.Root op 7 november 2013 15:50]

Tja ik denk niet dat dit goed is voor de openbaarheid hoor, zeker niet als het kwetsbaarheden betreft van één van de investeerders.

Als er een kwetsbaarheid gevonden is moet die gewoon zo openbaar worden dat er binnen een paar dagen een exploit voor komt die actief misbruikt gaat worden. Alleen als dat gebeurt zullen de bedrijven de kwetsbaarheid snel oplossen.
Ben bang dat ze het grootste beveiligings- probleem "menselijk surf gedrag" niet kunnen aanpakken.....;

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True