Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Bedrijf looft 45.000 dollar uit voor zeroday-lek in Linux

zaterdag 10 februari 2018, 08:43 door Redactie, 13 reacties

Het Amerikaanse bedrijf Zerodium dat zeroday-exploits van hackers en onderzoekers inkoopt heeft 45.000 dollar uitgeloofd voor een zeroday-lek in Linux. Het moet gaan om een kwetsbaarheid waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten verder kan verhogen.

Specifiek wordt er gezocht naar een exploit die met de standaardinstallatie van Ubuntu, Debian, CentOS, Red Hat Enterprise Linux en Fedora werkt. Normaliter betaalt Zerodium voor een dergelijke aanval tot 30.000 dollar. Tot 31 maart is het bedrag verhoogd naar 45.000 dollar. Onlangs kwam het bedrijf ook al in het nieuws omdat het tijdelijk 1 miljoen dollar uitloofde voor kwetsbaarheden waarmee gebruikers van Tor Browser kunnen worden aangevallen. Dat beloningsprogramma is inmiddels beëindigd, maar Zerodium wil niet zeggen of het bruikbare exploits heeft opgeleverd. Het bedrijf meldt op de eigen website dat het verkregen zeroday-exploits aan een "beperkt aantal" bedrijven en overheden doorverkoopt.

Lenovo waarschuwt voor ernstig wifi-lek in ThinkPad-modellen
VLC media player 3.0 lang ondersteund met beveiligingsupdates
Reacties (13)
10-02-2018, 09:32 door karma4
Het verdienmodel is hoger dan het als een bug aan te melden. De biedprijs voor dit type is nog een schijntje, kennelijk verwachten ze er toch het nodige van..
10-02-2018, 10:34 door Anoniem
Door karma4: Het verdienmodel is hoger dan het als een bug aan te melden. De biedprijs voor dit type is nog een schijntje, kennelijk verwachten ze er toch het nodige van..
Er bestaan mensen die een beloning krijgen zonder slachtoffers te maken motiverender vinden dan een hogere opbrengst met slachtoffers. Zolang niet de hele mensheid uit gewetenloze psychopaten bestaat werkt dit soort programma's.
10-02-2018, 10:46 door Anoniem
En ik zou ten stelligste afraden om met dit bedrijf in zee te gaan!

Want als je een 0-day meldt, en geld krijgt, hoe weet je dan zo zeker dat je niet straks bloed aan je handen hebt omdat een of andere "overheid' andersdenkenden weten te achterhalen en te elimineren?

Dus hacker en veiligheidsonderzoeker: neem je verantwoordelijkheid en werk niet mee met dit soort bedrijven!
10-02-2018, 13:07 door Anoniem
Door Anoniem: Er bestaan mensen die een beloning krijgen zonder slachtoffers te maken motiverender vinden dan een hogere opbrengst met slachtoffers. Zolang niet de hele mensheid uit gewetenloze psychopaten bestaat werkt dit soort programma's.
Het probleem is dat je helemaal niet kan stellen dat er geen slachtoffers worden gemaakt. We weten niet wie de bedrijven en overheden zijn aan wie de exploits worden verkocht en we weten al helemaal niet wat er uiteindelijk mee wordt gedaan.
Bugs horen bij de fabrikant te worden gemeld. Wat Zerodium doet is onwenselijk.
10-02-2018, 13:54 door Anoniem
Dit soort praktijken is dan ook in Mainland China vanaf het begin door de partijleiding ten strengste verboden.

Ze hebben al snel begrepen dat lekken van zero-days en verdere proliferatie ervan de natuurwetten volgen.

Het beste is verantwoord delen en je bevindingen delen met de gehele globale security gemeenschap,
geen export restricties, resource hacking methoden bespreken.

Zuiver in de leer zijn, terug naar idealen en wars van groot-commercie mono-cultuur. Individu komt op de eerste plaats,
daar waar die anderen niet in hun vrijheid belemmert. Iedereen is even veilig of even onveilig.
10-02-2018, 16:36 door Anoniem
Ik ben benieuwd naar de veiligheid van e-mailprogrammas zoals protonmail en meer in het bijzonder Tutanota. Het is open source maar je kan het alleen gebruiken met JS actief. Ik geloof wel in het encryptie gedeelte maar vraag me af of de procedure via browser veilig is. De vraag is natuurlijk altijd wie de persoon is waar je mee mailt via Tutanota. En de Duitse overheid heeft een verzoek tot backdoor acces in encryptie in de maak?
11-02-2018, 11:20 door Anoniem
sudo bash ?
11-02-2018, 16:56 door Anoniem
Tutanota is goed met zijn patch beleid, zelfs het ongepatchte open tab hole, wat Google chrome developers niet aanpakken,
is al aangepakt.

Backdoor access in encryptie komt naar ons allemaal toe, al we eenmaal van de zegeningen van Singularity Encryption
kunnen gaan genieten. Het NOBO principe voor de "herders blijft echter overeind.
Deze krachten willen encyptie backdoors for NOBO, nobody but ours.

Lees over achtergrond: https://www.theregister.co.uk/2017/12/15/crypto_mathematical_backdoors/

Jodocus Oyevaer
11-02-2018, 19:20 door Anoniem
Door Anoniem: En ik zou ten stelligste afraden om met dit bedrijf in zee te gaan!

Want als je een 0-day meldt, en geld krijgt, hoe weet je dan zo zeker dat je niet straks bloed aan je handen hebt omdat een of andere "overheid' andersdenkenden weten te achterhalen en te elimineren?

Dus hacker en veiligheidsonderzoeker: neem je verantwoordelijkheid en werk niet mee met dit soort bedrijven!

Zaken zijn zaken in de IT sector en iederen wil een extra plakje kaas op zijn boterham.
Overgens met het ontwerpen van een simple interface kan je ook mensen benadelen of met het delen van je ontwerpen code op een site.
11-02-2018, 19:38 door Anoniem
Door Anoniem: Tutanota is goed met zijn patch beleid, zelfs het ongepatchte open tab hole, wat Google chrome developers niet aanpakken,
is al aangepakt.

Backdoor access in encryptie komt naar ons allemaal toe, al we eenmaal van de zegeningen van Singularity Encryption
kunnen gaan genieten. Het NOBO principe voor de "herders blijft echter overeind.
Deze krachten willen encyptie backdoors for NOBO, nobody but ours.

Lees over achtergrond: https://www.theregister.co.uk/2017/12/15/crypto_mathematical_backdoors/

Jodocus Oyevaer

Google chrome en Tutanota ?
Zo raak je je hoofdrolspelers wel kwijt.
Govert Flink al gelocaliseerd?
Ook nog steeds kwijt, maar dat lag niet aan TuttiGoogle.
Indrukwekkend cv trouwens.
HighCheers5.
11-02-2018, 22:12 door ph-cofi
Boeiend achtergrondartikel, Jodocus!

Het artikel https://www.theregister.co.uk/2017/12/15/crypto_mathematical_backdoors/ suggereert dat encryptie-algoritmes al backdoors moeten bevatten:
Analyzing the international regulations clearly proves that at least export versions contains backdoors.
Als het bewezen wordt dat encryptie-algo's op onze thuis PC's backdoors bevatten, dan is de huidige heisa van politici hierover al een gepasseerd station. Of politici weten het niet, of ze wensen te werken aan wetgeving die legitimiteit geeft aan al mogelijke en gangbare inbraken door overheden.

Dan is de ratrace dus ook al aan de gang: welke staat kan eerder de backdoors in algo's van de andere staten tegen ze gebruiken. Encryptie-algoritme-koude-oorlog.
12-02-2018, 15:59 door Anoniem
@ ph-cofi

Als de negotiaton prime bij het Diffie Hellman encryptie model kan worden gekraakt met behulp van speciaal daarvoor geconstrueerde Quantum machines en je over de tijd steeds meer van deze "sleutels" tot alle deuren gaat bezitten,
zoals NSA, dan is alle non-USA encryptie per definitie onveilig (en volgt later ook proliferatie op globale schaal.
Chinezen op de satelliet bij voorbeeld en niet alleen voorbehouden aan Crooks In Action.

Het paradigma van encryptie backdoors "alleen voor ons" van de Anglo-Amerikanen,
is slechts tijdelijk houdbaar. De lat zal steeds hoger moeten worden gelegd
om de alleenheerschappij of dominantie te kunnen handhaven
en iedereen wordt er eerder onveiliger in plaats van veiliger door.

Er is nog niemand ter verantwoording geroepen.
De val van dit Anglo-Amerikaanse imperium lijkt op de duur onafwendbaar.
Zo is het alle historische wereldrijken tenslotte vergaan.
Niet dat andere rijken een haar beter of slechter zijn.

Vandaar de huidige inspanningen in de richting van AI Smart Encryptie,
en een politiek vol van handelsrestricties, boycots en demonisering van alles,
wat de encryptie brekers in de weg loopt of "outsmarts them".

Alleen een decentraal anoniem en autonoom encryptiesysteem,
dat eerlijk is ten opzichte van elke wereldburger of instantie ter wereld,
zal voldoende vrijheid en veiligheid kunnen bieden.

Tot dan is de volle cyberoorlog een feit.
We leven in interessante tijden.

Jodocus Oyevaer
12-02-2018, 17:58 door Anoniem
En de risico's van browser/JS/key verificatie,(MITH) /OS / die allemaal ook een rol spelen bij de encrypte mail van Tutanota, ik bedoel het verschil tussen directe PGP en Tutanota emails. Ze maken alletwee gebruik van hoogwaardige encryptie, maar de verschillen liggen ook in de gebruikersomgeving? Bij een backdoor ligt de veiligheid/security altijd op straat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Stelling: Sociale media vormen een bedreiging voor de democratie

14 reacties
Aantal stemmen: 815
Juridische vraag: Is de AVG van toepassing op het filmen van personen in een niet-openbare ruimte?
13-02-2019 door Arnoud Engelfriet

In 2013 blogde je over de vraag: Mag een cliënt de thuiszorg met een webcam filmen? Toen was een eenduidig antwoord met ja of ...

18 reacties
Lees meer
Google Chrome en privacy
13-02-2019 door Anoniem

dag, google chrome heb ik niet geinstalleerd vanwege de afstand die ik wil bewaren tot google. ik gebruik firefox. maar chrome ...

17 reacties
Lees meer
Ik wil stoppen met het gebruik van Whatsapp maar mijn vrienden-kennissen niet.
10-02-2019 door Anoniem

Beste Security vrienden, Ik zit met een dilemma die mij al een aantal jaren bezig houd. Ik heb mijzelf al meerden malen ...

50 reacties
Lees meer
Juridische vraag: Wanneer is het hebben van een Remote Access Tool en een Keylogger strafbaar?
06-02-2019 door Arnoud Engelfriet

Wanneer is het hebben van een Remote Access Tool (RAT) nu strafbaar? Wij gebruiken dit in de organisatie voor intern beheer op ...

21 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter