<b>Exploits moeten bij onenigheid of ontbreken reactie ontwikkelaar bekend gemaakt worden</b>
Vorige week kwam securitybedrijf Finjan met de onthulling dat er 10 kritieke lekken in Windows XP Service Pack 2 aanwezig waren, waardoor een aanvaller een kwetsbaar systeem kon overnemen. Zoals de meeste onderzoekers doen, had ook Finjan de lekken aan de vendor, in dit geval Microsoft, bekend gemaakt. Microsoft was echter niet te spreken over de actie van het securitybedrijf en noemde de gedane uitspraken misleidend en, met betrekking tot de ernst van de lekken, mogelijk zelfs onjuist. Dit voorval staat niet op zichzelf, want het komt vaker voor dat onderzoekers lekken ontdekken en geen gehoor vinden bij de software ontwikkelaar of niet serieus genomen worden. Onze stelling luidt derhalve: Exploits moeten bij onenigheid of ontbreken reactie ontwikkelaar bekend gemaakt worden
mogelijk heeft gekregen adequaat te reageren heb ik er geen
problemen mee als de informatie wordt gepubliceerd.
Om het probleem duidelijker te maken kan PoC/exploit-code
heel verhelderend zijn, maar wat mij betreft is het nergens
goed voor kant-en-klare crack-scripts te publiceren. We
hoeven het de kiddies niet *al* te makkelijk te maken. Houd
in gedachten dat je niet alleen de fabrikant treft, maar ook
(eigenlijk vooral) zijn klanten. Onschuldige omstanders dus.
bedrijven hun dingen ook niet zullen repareren. Het moet
niet, maar het is uiteindelijk wel voor iedereen beter.
gebeurd wel vaker dat auditors de verkeerde mensen
contacteren. Maar in principe ben ik het met de stelling eens.
maakt, bedrijven hun dingen ook niet zullen repareren.
Ik vind wel dat je een bedrijf de kans moet geven: dus eerst
wachten of er adequaat gereageerd wordt, en *dan* pas
publiceren.
Dan weet ik tenminste precies waar ik aan toe ben.
bij toeval ontdekte ik het lek... en schreef het aantal mogelijkheden op dat
ik kreeg zonder in te loggen.
De eerste keer nam ik contact op met een admin....
het duurde ff maar ik werd niet serieus genomen...
later heb ik enige acties kunnen onder nemen zonder in te loggen en de
leden van de website stonden voor een groot raadsel.
uiteindelijk heb ik met een andere admin contact gezocht en heb hem
gewezen op de dingen die ik gedaan had zonder in te loggen. toen duurde
het niet lang voordat het lek gedicht werd.
ik/wij/zij/de blackhats/crackers/lamers exploits MOETEN
worden vrijgegeven? Wat is dit voor een onzin? Exploits
verkoop je aan iDEFENSE zodat je weer een weekend tering
dronken kan worden en weer eens naar de hoeren kan gaan OF
je gebruikt ze om security.nl te defacen en er een stelling
ala "SECURITY.NL MOET EENS CLUE KRIJGEN" op te zetten.
Signing out,
Anon1empje
maakt, bedrijven hun dingen ook niet zullen repareren.
Ik vind wel dat je een bedrijf de kans moet geven: dus eerst
wachten of er adequaat gereageerd wordt, en *dan* pas
publiceren.
Zeker, maar zeg er meteen bij ('dreig') dat je het bekend
gaat maken, anders nemen ze je toch niet serieus.
verkoop je aan iDEFENSE zodat je weer een weekend tering
dronken kan worden
Wat schuift dat?
Wantt 1 weekend stappen is niet voldoende, dan kan je beter naar
Afganistan gaan, daar zul je iets meer krijgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.