image

Bedrijf looft 45.000 dollar uit voor zeroday-lek in Linux

zaterdag 10 februari 2018, 08:43 door Redactie, 13 reacties

Het Amerikaanse bedrijf Zerodium dat zeroday-exploits van hackers en onderzoekers inkoopt heeft 45.000 dollar uitgeloofd voor een zeroday-lek in Linux. Het moet gaan om een kwetsbaarheid waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten verder kan verhogen.

Specifiek wordt er gezocht naar een exploit die met de standaardinstallatie van Ubuntu, Debian, CentOS, Red Hat Enterprise Linux en Fedora werkt. Normaliter betaalt Zerodium voor een dergelijke aanval tot 30.000 dollar. Tot 31 maart is het bedrag verhoogd naar 45.000 dollar. Onlangs kwam het bedrijf ook al in het nieuws omdat het tijdelijk 1 miljoen dollar uitloofde voor kwetsbaarheden waarmee gebruikers van Tor Browser kunnen worden aangevallen. Dat beloningsprogramma is inmiddels beëindigd, maar Zerodium wil niet zeggen of het bruikbare exploits heeft opgeleverd. Het bedrijf meldt op de eigen website dat het verkregen zeroday-exploits aan een "beperkt aantal" bedrijven en overheden doorverkoopt.

Reacties (13)
10-02-2018, 09:32 door karma4
Het verdienmodel is hoger dan het als een bug aan te melden. De biedprijs voor dit type is nog een schijntje, kennelijk verwachten ze er toch het nodige van..
10-02-2018, 10:34 door Anoniem
Door karma4: Het verdienmodel is hoger dan het als een bug aan te melden. De biedprijs voor dit type is nog een schijntje, kennelijk verwachten ze er toch het nodige van..
Er bestaan mensen die een beloning krijgen zonder slachtoffers te maken motiverender vinden dan een hogere opbrengst met slachtoffers. Zolang niet de hele mensheid uit gewetenloze psychopaten bestaat werkt dit soort programma's.
10-02-2018, 10:46 door Anoniem
En ik zou ten stelligste afraden om met dit bedrijf in zee te gaan!

Want als je een 0-day meldt, en geld krijgt, hoe weet je dan zo zeker dat je niet straks bloed aan je handen hebt omdat een of andere "overheid' andersdenkenden weten te achterhalen en te elimineren?

Dus hacker en veiligheidsonderzoeker: neem je verantwoordelijkheid en werk niet mee met dit soort bedrijven!
10-02-2018, 13:07 door Anoniem
Door Anoniem: Er bestaan mensen die een beloning krijgen zonder slachtoffers te maken motiverender vinden dan een hogere opbrengst met slachtoffers. Zolang niet de hele mensheid uit gewetenloze psychopaten bestaat werkt dit soort programma's.
Het probleem is dat je helemaal niet kan stellen dat er geen slachtoffers worden gemaakt. We weten niet wie de bedrijven en overheden zijn aan wie de exploits worden verkocht en we weten al helemaal niet wat er uiteindelijk mee wordt gedaan.
Bugs horen bij de fabrikant te worden gemeld. Wat Zerodium doet is onwenselijk.
10-02-2018, 13:54 door Anoniem
Dit soort praktijken is dan ook in Mainland China vanaf het begin door de partijleiding ten strengste verboden.

Ze hebben al snel begrepen dat lekken van zero-days en verdere proliferatie ervan de natuurwetten volgen.

Het beste is verantwoord delen en je bevindingen delen met de gehele globale security gemeenschap,
geen export restricties, resource hacking methoden bespreken.

Zuiver in de leer zijn, terug naar idealen en wars van groot-commercie mono-cultuur. Individu komt op de eerste plaats,
daar waar die anderen niet in hun vrijheid belemmert. Iedereen is even veilig of even onveilig.
10-02-2018, 16:36 door Anoniem
Ik ben benieuwd naar de veiligheid van e-mailprogrammas zoals protonmail en meer in het bijzonder Tutanota. Het is open source maar je kan het alleen gebruiken met JS actief. Ik geloof wel in het encryptie gedeelte maar vraag me af of de procedure via browser veilig is. De vraag is natuurlijk altijd wie de persoon is waar je mee mailt via Tutanota. En de Duitse overheid heeft een verzoek tot backdoor acces in encryptie in de maak?
11-02-2018, 11:20 door Anoniem
sudo bash ?
11-02-2018, 16:56 door Anoniem
Tutanota is goed met zijn patch beleid, zelfs het ongepatchte open tab hole, wat Google chrome developers niet aanpakken,
is al aangepakt.

Backdoor access in encryptie komt naar ons allemaal toe, al we eenmaal van de zegeningen van Singularity Encryption
kunnen gaan genieten. Het NOBO principe voor de "herders blijft echter overeind.
Deze krachten willen encyptie backdoors for NOBO, nobody but ours.

Lees over achtergrond: https://www.theregister.co.uk/2017/12/15/crypto_mathematical_backdoors/

Jodocus Oyevaer
11-02-2018, 19:20 door Anoniem
Door Anoniem: En ik zou ten stelligste afraden om met dit bedrijf in zee te gaan!

Want als je een 0-day meldt, en geld krijgt, hoe weet je dan zo zeker dat je niet straks bloed aan je handen hebt omdat een of andere "overheid' andersdenkenden weten te achterhalen en te elimineren?

Dus hacker en veiligheidsonderzoeker: neem je verantwoordelijkheid en werk niet mee met dit soort bedrijven!

Zaken zijn zaken in de IT sector en iederen wil een extra plakje kaas op zijn boterham.
Overgens met het ontwerpen van een simple interface kan je ook mensen benadelen of met het delen van je ontwerpen code op een site.
11-02-2018, 19:38 door Anoniem
Door Anoniem: Tutanota is goed met zijn patch beleid, zelfs het ongepatchte open tab hole, wat Google chrome developers niet aanpakken,
is al aangepakt.

Backdoor access in encryptie komt naar ons allemaal toe, al we eenmaal van de zegeningen van Singularity Encryption
kunnen gaan genieten. Het NOBO principe voor de "herders blijft echter overeind.
Deze krachten willen encyptie backdoors for NOBO, nobody but ours.

Lees over achtergrond: https://www.theregister.co.uk/2017/12/15/crypto_mathematical_backdoors/

Jodocus Oyevaer

Google chrome en Tutanota ?
Zo raak je je hoofdrolspelers wel kwijt.
Govert Flink al gelocaliseerd?
Ook nog steeds kwijt, maar dat lag niet aan TuttiGoogle.
Indrukwekkend cv trouwens.
HighCheers5.
11-02-2018, 22:12 door ph-cofi
Boeiend achtergrondartikel, Jodocus!

Het artikel https://www.theregister.co.uk/2017/12/15/crypto_mathematical_backdoors/ suggereert dat encryptie-algoritmes al backdoors moeten bevatten:
Analyzing the international regulations clearly proves that at least export versions contains backdoors.
Als het bewezen wordt dat encryptie-algo's op onze thuis PC's backdoors bevatten, dan is de huidige heisa van politici hierover al een gepasseerd station. Of politici weten het niet, of ze wensen te werken aan wetgeving die legitimiteit geeft aan al mogelijke en gangbare inbraken door overheden.

Dan is de ratrace dus ook al aan de gang: welke staat kan eerder de backdoors in algo's van de andere staten tegen ze gebruiken. Encryptie-algoritme-koude-oorlog.
12-02-2018, 15:59 door Anoniem
@ ph-cofi

Als de negotiaton prime bij het Diffie Hellman encryptie model kan worden gekraakt met behulp van speciaal daarvoor geconstrueerde Quantum machines en je over de tijd steeds meer van deze "sleutels" tot alle deuren gaat bezitten,
zoals NSA, dan is alle non-USA encryptie per definitie onveilig (en volgt later ook proliferatie op globale schaal.
Chinezen op de satelliet bij voorbeeld en niet alleen voorbehouden aan Crooks In Action.

Het paradigma van encryptie backdoors "alleen voor ons" van de Anglo-Amerikanen,
is slechts tijdelijk houdbaar. De lat zal steeds hoger moeten worden gelegd
om de alleenheerschappij of dominantie te kunnen handhaven
en iedereen wordt er eerder onveiliger in plaats van veiliger door.

Er is nog niemand ter verantwoording geroepen.
De val van dit Anglo-Amerikaanse imperium lijkt op de duur onafwendbaar.
Zo is het alle historische wereldrijken tenslotte vergaan.
Niet dat andere rijken een haar beter of slechter zijn.

Vandaar de huidige inspanningen in de richting van AI Smart Encryptie,
en een politiek vol van handelsrestricties, boycots en demonisering van alles,
wat de encryptie brekers in de weg loopt of "outsmarts them".

Alleen een decentraal anoniem en autonoom encryptiesysteem,
dat eerlijk is ten opzichte van elke wereldburger of instantie ter wereld,
zal voldoende vrijheid en veiligheid kunnen bieden.

Tot dan is de volle cyberoorlog een feit.
We leven in interessante tijden.

Jodocus Oyevaer
12-02-2018, 17:58 door Anoniem
En de risico's van browser/JS/key verificatie,(MITH) /OS / die allemaal ook een rol spelen bij de encrypte mail van Tutanota, ik bedoel het verschil tussen directe PGP en Tutanota emails. Ze maken alletwee gebruik van hoogwaardige encryptie, maar de verschillen liggen ook in de gebruikersomgeving? Bij een backdoor ligt de veiligheid/security altijd op straat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.