Bedrijf dat zerodays inkoopt richt zich op Signal en WhatsApp
Het bedrijf Zerodium dat zeroday-exploits inkoopt richt zich nu ook op populaire chat-apps zoals Signal, WhatsApp, WeChat, Telegram, Facebook Messenger en Viber. Dat laat Zerodium via de eigen website weten. Het Amerikaanse bedrijf, dat in 2015 werd opgericht, betaalt onderzoekers voor allerlei zeroday-exploits. Exploits die gebruik van kwetsbaarheden maken die nog niet bij de softwareleverancier bekend zijn.
Deze exploits, waarmee toegang tot systemen en smartphones kan worden verkregen, worden vervolgens aan een "beperkt aantal" bedrijven en overheden doorverkocht. Zerodium heeft nu een nieuwe "prijslijst" uitgebracht waar specifiek beloningen voor de eerder genoemde chat-apps worden genoemd. Voor een zeroday-exploit om via WhatsApp of Signal een Android- of iOS-toestel over te nemen wordt 500.000 dollar betaald. De hoogste beloning, 1,5 miljoen dollar, wordt uitgekeerd voor een zeroday-exploit waarmee een iPhone zonder interactie van de gebruiker kan worden overgenomen. Dit bedrag is echter onveranderd ten opzichte van de vorige prijslijst.
Wel zijn de beloningen voor zeroday-exploits in Google Chrome, Tor Browser, Firefox, Internet Explorer en WordPress aangepast. Zo levert een zeroday in Chrome nu 150.000 dollar op, terwijl dit eerst 80.000 dollar was. De beloning voor een zeroday in Firefox en Tor Browser is van 30.000 dollar naar 100.000 dollar verhoogd. In het geval van WordPress is het bedrag vervijfvoudigd, van 10.000 dollar naar 50.000 dollar. Internet Explorer is echter van de lijst verwijderd. Verder is de beloning voor een beveiligingslek in anti-virussoftware waardoor een aanvaller zijn rechten kan verhogen verlaagd van 40.000 dollar naar 10.000 dollar.
Zo zijn beveiligingslekken in anti-virussoftware kennelijk zo ruim beschikbaar dat ze geen bal meer opbrengen.
Zo is zijn beveiligingslekken in anti-virussoftware kennelijk zo ruim beschikbaar dat ze geen bal meer opbrengen.
Handel drijven met andermans kwetsbaarheden, een interessante inkijk. Een hoger bedrag = omdat iets veelvuldig gebruikt wordt OF omdat het lastiger te kraken is. Een lager bedrag = laat maar, geen van onze klanten belt ons hiervoor op (ze kunnen het zelf wel of verwachten via deze weg niet hun eigen doel te halen).
Bij "payouts for desktops/servers" zijn de bedragen lager, mobile is blijkbaar interessanter. De bedragen voor Windows zijn over het algemeen het hoogste aangeslagen (marktleider).
Wat ik veel erger vind, is dat het software bouwers/leveranciers toegestaan wordt om rommel uit te brengen.
Leer programmeren.nl
En kom niet aan met onbekende functies, of onvoorziene gaten in onderliggende engines.. Dat kun je testen door zelf op zoek te gaan naar je zero-day voordat je het uitbrengt. Dus zeroday-1 zeg maar.
Wat ik veel erger vind, is dat het software bouwers/leveranciers toegestaan wordt om rommel uit te brengen.
Leer programmeren.nl
En kom niet aan met onbekende functies, of onvoorziene gaten in onderliggende engines.. Dat kun je testen door zelf op zoek te gaan naar je zero-day voordat je het uitbrengt. Dus zeroday-1 zeg maar.
(Ik weet niet of jij software ontwikkeld) Ik vind het een beetje kort door de bocht. Ik schrijf zelf veel web applicaties (backend) en besteed extreem veel tijd/aandacht aan beveiliging maar ik zie ook wel eens iets over het hoofd, daardoor kan je inderdaad (zero day) lekken krijgen.
Goede zaak dit, zo kan je zien dat de chat apps veiliger worden.
Omdat onderzoekers het hadden opgegeven vanwege de robuustheid. Ze maakten geen schijn van kans.
Omdat onderzoekers het hadden opgegeven vanwege de robuustheid. Ze maakten geen schijn van kans.
Wat ik veel erger vind, is dat het software bouwers/leveranciers toegestaan wordt om rommel uit te brengen.
Leer programmeren.nl
En kom niet aan met onbekende functies, of onvoorziene gaten in onderliggende engines.. Dat kun je testen door zelf op zoek te gaan naar je zero-day voordat je het uitbrengt. Dus zeroday-1 zeg maar.
(Ik weet niet of jij software ontwikkeld) Ik vind het een beetje kort door de bocht. Ik schrijf zelf veel web applicaties (backend) en besteed extreem veel tijd/aandacht aan beveiliging maar ik zie ook wel eens iets over het hoofd, daardoor kan je inderdaad (zero day) lekken krijgen.
Dit is precies wat ik bedoel. Leer goed programmeren. Leer foutloos schrijven. Test. Test. Test. Doe analyses. Doe fault-tree analyse. Logic Flow analyse. Schrijf goede code.
Gez31k hele tijd van programmeurs.. Feitelijk zeg je: Ik kan niet programmeren en lever rommel op.
En die rommel moet je veel voor betalen. En als ik het moet fixen, betaal je ook maar.
Que??
Hoe zou je het vinden als een kok of chirurg de processen en dergelijke zo benaderen?
"Ja, je vlees is beetje vies, zie ik. Wacht ik gooi er wat kruiden over heen, was ik net namelijk vergeten. Moet je wel meer betalen nu"
Misschien vergezocht, maar ik heb het inmiddels echt wel gehad met de IT wereld die alleen maar troep oplevert en zich telkens verschuilt achter "kan toch gebeuren"..
En je bent vast een goede programmeur , maar toch missen er security user stories, die van te voren bedacht kunnen worden.
Vectoren in kaart brengen, fault-tree analyse, risk assessment en nog meer.
Het is niet jij persoonlijk hoor, het is de hele industrie waar ik van baal. M$, Linux, Mac.. etc..
Net als met de discussie van AI, dat het gevaarlijk wordt en te complex.. Misschien is de IT al te complex eigenlijk om het nog goed te kunnen doen...
koffie.. of misschien even een bakje minder.
Uit het gevoelen spreekt dat je weet wat er speelt. Technische IT en dan nog de kleine kring van echte ingewijden weten van de security hoed en de rand en worden gelijk benaderd door de bekende drie- of vier-lettergreep diensten.
De infrastructuur is over het algemeen compleet "geholed". Er worden ontzettende veel basale fouten bij configuraties gemaakt, op servers, op naamservers, bij DNS, bij "best practices". Code die afgeserveerd moet worden, wordt nog gebruikt, zelfs "verlaten"code met alle gevolgen van dien. Openstaande wachtwoorden op makkelijk te hacken SQL servers.
Certificeringsellende, overdreven vertrouwen in https everywhere en gratis pret-certificering en gratis cloud diensten, waar je subdomein ineens jouw sub-domein niet meer is (afraid dot org) en ga zo nog maar even door met de hele litanie.
Developers zijn liever bezig met linke adware en crap-constructies om snel de buit met de dataschuivers te kunnen delen.
Zo de waard is vertrouwt hij zijn gasten (Google en Co) en de rekening zit altijd onder in de zak (malware en narigheid voor eindgebruiker). Hou er dus maar liever over op. Ik zie het niet zo gauw veranderen. Gebrainwashed stelletje jankers zijn het eerder....
Uit het gevoelen spreekt dat je weet wat er speelt. Technische IT en dan nog de kleine kring van echte ingewijden weten van de security hoed en de rand en worden gelijk benaderd door de bekende drie- of vier-lettergreep diensten.
De infrastructuur is over het algemeen compleet "geholed". Er worden ontzettende veel basale fouten bij configuraties gemaakt, op servers, op naamservers, bij DNS, bij "best practices". Code die afgeserveerd moet worden, wordt nog gebruikt, zelfs "verlaten"code met alle gevolgen van dien. Openstaande wachtwoorden op makkelijk te hacken SQL servers.
Certificeringsellende, overdreven vertrouwen in https everywhere en gratis pret-certificering en gratis cloud diensten, waar je subdomein ineens jouw sub-domein niet meer is (afraid dot org) en ga zo nog maar even door met de hele litanie.
Developers zijn liever bezig met linke adware en crap-constructies om snel de buit met de dataschuivers te kunnen delen.
Zo de waard is vertrouwt hij zijn gasten (Google en Co) en de rekening zit altijd onder in de zak (malware en narigheid voor eindgebruiker). Hou er dus maar liever over op. Ik zie het niet zo gauw veranderen. Gebrainwashed stelletje jankers zijn het eerder....
De anoniem van 11.30 hier :-)
Ja, het is borked vanaf de eerste laag. Helemaal met je eens. Beginnend bij 'C', TCP/IP, allemaal te vroeg in het diepe gegooid en er mee aan de slag gegaan omdat er feitelijk knollen voor citroenen zijn verkocht. Te snel geld willen maken, toen al.
Dus was zeker geen persoonlijke rant tegen een specifieke programmeur. Eerder tegen de hele industrie.
Hadden we destijds maar ietsjes langer ontwikkeld ipv life te gaan met halve functies.
Tegelijkertijd zal het wel iets menselijks zijn.. iets niet begrijpen en je er toch mee bemoeien :)
Ik hou er over op.
Geluk!
Er moet ook echt iets gebeuren via onderricht. Niet in het derde studiejaar een kort kul-verhaaltje over de black, grey and white hats e.d. Eerder duidelijke uiteenzettingen van waarover het bij beveiliging gaan moet. Updaten, patchen, testen, code door unpackers halen en fouten jagen en begrijpen waarom men ze maakt en hoe men ze voorkomt. (Stackoverflow een goede infobron).
Best practices er in hameren, sri hashes genereren, geen certificaten als root installeren, monitoren, nonces gebruiken, signeren, oog voor hoe gecompromitteerd worden kan, de rol van cloaking bij voorbeeld, automatisch gegenereerde malware domeinen, sinkholing en de rol van whitelisten en blacklisten, dns miskleunen opsporen, server info proliferatie (op naamservers bij voorbeeld), exploitvormen, sources en sinks code nazien op "same origin". IDS aanleren (snort, firehole, grunt).
Niet eerste jaars maar zichzelf even javascript laten aanleren eigen maken en alles ophangen aan 1 kapstoktaal. Trouwens is js veel te vroeg ontsnapt aan het brein van de Blaze browser developer, Reich, in de jaren negentig. SQL: ook PHP gebaseerd, net zo'n ramp als heel wat Word Press gepruts buiten de kernel dan (ook op PHP gebaseerd overigens).
Rondlopend op een Hogeschool zie ik heus een en ander bij de developers in spe met hun laptops en hun voorgekookte stackjes. Steeds wijs ik ze op beveiligingszaken en een gedeelte van hen wil echt wel luisteren. Maar bij voorbeeld ze lambda code laten uitrekenen bij een toets als de lambda generator online staat, vind ik echt zonde van de tijd.
Pennengekras samen met een Casio rekenmachine in de tijd van de balpen of moderner hulpmiddelen, zoals genoemd
Wat ik veel erger vind, is dat het software bouwers/leveranciers toegestaan wordt om rommel uit te brengen.
Leer programmeren.nl
En kom niet aan met onbekende functies, of onvoorziene gaten in onderliggende engines.. Dat kun je testen door zelf op zoek te gaan naar je zero-day voordat je het uitbrengt. Dus zeroday-1 zeg maar.
(Ik weet niet of jij software ontwikkeld) Ik vind het een beetje kort door de bocht. Ik schrijf zelf veel web applicaties (backend) en besteed extreem veel tijd/aandacht aan beveiliging maar ik zie ook wel eens iets over het hoofd, daardoor kan je inderdaad (zero day) lekken krijgen.
Dit is precies wat ik bedoel. Leer goed programmeren. Leer foutloos schrijven. Test. Test. Test. Doe analyses. Doe fault-tree analyse. Logic Flow analyse. Schrijf goede code.
Gez31k hele tijd van programmeurs.. Feitelijk zeg je: Ik kan niet programmeren en lever rommel op.
En die rommel moet je veel voor betalen. En als ik het moet fixen, betaal je ook maar.
Que??
Hoe zou je het vinden als een kok of chirurg de processen en dergelijke zo benaderen?
"Ja, je vlees is beetje vies, zie ik. Wacht ik gooi er wat kruiden over heen, was ik net namelijk vergeten. Moet je wel meer betalen nu"
Misschien vergezocht, maar ik heb het inmiddels echt wel gehad met de IT wereld die alleen maar troep oplevert en zich telkens verschuilt achter "kan toch gebeuren"..
En je bent vast een goede programmeur , maar toch missen er security user stories, die van te voren bedacht kunnen worden.
Vectoren in kaart brengen, fault-tree analyse, risk assessment en nog meer.
Het is niet jij persoonlijk hoor, het is de hele industrie waar ik van baal. M$, Linux, Mac.. etc..
Net als met de discussie van AI, dat het gevaarlijk wordt en te complex.. Misschien is de IT al te complex eigenlijk om het nog goed te kunnen doen...
koffie.. of misschien even een bakje minder.
Dus, beste Anoniem 11:30....., jij kunt 100% garanderen dat je never nooit iets over het hoofd hebt gezien en 100% gegarandeerd nooit iets maar dan ook helemaal niets dat kan leiden tot een lek over het hoofd zal gaan zien gedurende je hele programmeer-loopbaan ?
Bijzonder!
Want als je _aantoonbaar_ zo perfect bent dan zul je ook wel een mega-topsalaris krijgen.
Helemaal eens met je stelling dat het gewoon te complex wordt....
Hoe zou je het vinden als een kok of chirurg de processen en dergelijke zo benaderen?
Als programmeurs net zo veel fouten maakten als koks dan werkte werkelijk geen enkel programma.
Hadden we destijds maar ietsjes langer ontwikkeld ipv life te gaan met halve functies.
Hadden ze vanaf de eerste model-T auto's maar voorzien van veiligheidsgordels
SQL: ook PHP gebaseerd, net zo'n ramp als heel wat Word Press gepruts buiten de kernel dan (ook op PHP gebaseerd overigens)
SQL is niets mis mee, doet gewoon wat je het vraagt. Dat je gebruikers-input, alle input, voor een programma moet valideren voor gebruik was decennia geleden al bekend. Probleem ligt niet bij SQL
Hoe zou je het vinden als een kok of chirurg de processen en dergelijke zo benaderen?
Als programmeurs net zo veel fouten maakten als koks dan werkte werkelijk geen enkel programma.
Ging mij niet om de fouten, maar meer om de benadering.
Kok maakt een foutje en vraagt je extra te betalen om het goed te maken. Dat klopt niet.
Wat ik veel erger vind, is dat het software bouwers/leveranciers toegestaan wordt om rommel uit te brengen.
Leer programmeren.nl
[knip]
Dus, beste Anoniem 11:30....., jij kunt 100% garanderen dat je never nooit iets over het hoofd hebt gezien en 100% gegarandeerd nooit iets maar dan ook helemaal niets dat kan leiden tot een lek over het hoofd zal gaan zien gedurende je hele programmeer-loopbaan ?
Bijzonder!
Want als je _aantoonbaar_ zo perfect bent dan zul je ook wel een mega-topsalaris krijgen.
Helemaal eens met je stelling dat het gewoon te complex wordt....
Ik pretendeer zeker niet foutloos te zijn, maar als er iets zou zijn, geef ik mijn klanten geen extra factuur als ik mijn eigen fouten moet oplossen.
Dat is wat er mis is met de IT industrie.
En ja, verder zorg ik er voor dat ik van te voren m'n test scripts heb gebouwd alvorens ik aan de slag ga. (Fault-tree and Logic-Flow analysis).
Elke functionaliteit kan stuk en dan moet je begrijpen waardoor het stuk kan gaan. Dus eerst uittekenen ipv meteen aan de slag te gaan met het knippen en plakken van snippets et all.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Samenwerking
(Landelijk Dekkend
Stelsel)
Nationaal Cyber Security Centrum
Ben jij een echte verbinder die er energie van krijgt om met potentiële partner organisaties in contact te gaan om samenwerkings-mogelijkheden te bespreken? Geloof je in de kracht van samenwerken en bezit je het enthousiasme en de competenties om dit te activeren?
Adviseur Incidentpreventie en Incidenthandler IBD
De Informatiebeveiligingsdienst (IBD) onder-steunt gemeenten op het gebied van informatiebeveiliging en privacy. Je verhoogt de digitale weerbaarheid van gemeenten. Je draagt daarmee bij aan het voorkomen van incidenten die de dienstverlening van ge-meenten in gevaar kan brengen. En die nadelige gevolgen voor inwoners, bedrijven en de gemeente zelf kunnen hebben.
Senior Security Operations Centre (SOC) Specialist
Nationaal Cyber Security Centrum
Vanuit de verdere professionalisering van onze organisatie hebben wij behoefte aan een senior Security Operations specialist, die vanuit zijn ruime SOC-ervaring inhoudelijk een steunpilaar kan zijn binnen de dagelijkse SOC-processen en daarnaast een trekkende en adviserende rol kan spelen in de verdere doorontwikkeling van deze processen.
Security Officer Bedrijfsvoering
Als Security Officer zorg je dat het infra-structuurplatform, de broncode en de VECOZO-werkplek zo min mogelijk kwets-baarheden kennen. Je stelt daarvoor een beveiligingsplan en een risicoanalyse op. Verder verstrek je hulpmiddelen, werk je nauw samen met de CISO op het bedrijfs-bureau en zorg je waar nodig voor training en evaluatie.
(Senior) Onderzoeker Cybersecurity
Nationaal Cyber Security Centrum
Zit cybersecurity diep in je DNA? Ben jij de schakel tussen de cybersecuritypraktijk en de academische onderzoekswereld? Weet jij relevante vragen en opdrachten te destilleren tot concreet onderzoek? Wellicht ben jij dan de gewenste aanvulling op ons team!
Information Security Officer
Ga jij met ons de samenwerking aan om Robot Process Automation veilig te im-plementeren, om een audit op de ver-pleegafdeling uit te voeren of om een Research Proposal met inzet van AI te beoordelen? Word onderdeel van ons team!