image

Wie is de eigenaar van een exploit?

dinsdag 13 december 2005, 10:25 door Redactie, 5 reacties

Als een security onderzoeker een lek in een programma ontdekt, is hij dan ook de eigenaar van die ontdekking? De meeste mensen zijn het erover eens dat de onderzoeker "credit" moet krijgen voor zijn ontdekking, maar moet hij er ook aan kunnen verdienen?

Als je het aan iDefense of 3COM vraagt krijg je waarschijnlijk "ja" als antwoord. Beide bedrijven kopen exploits van onderzoekers. Veel ontwikkelaars zijn het echter niet met deze gang van zaken eens, omdat het mensen zou aanmoedigen om in programa's te gaan kijken en rommelen. Dit kan het imago van een bedrijf beschadigen als er ernstige lekken gevonden worden.

Laatst werd er zelfs een exploit op eBay aangeboden, hoewel de veilinggigant de veiling verwijderde, was er al 60 dollar geboden. Mogelijk kan dit zelfs tot een "security exploit veiling" leiden, waarbij onderzoekers exploits aan de hoogste bieder kunnen verkopen.

Volgens Seth Fogie is een exploit intellectueel eigendom en moet het ook zo behandeld worden. Hij heeft er geen probleem mee als mensen een exploit willen kopen, zolang dit maar op een verantwoorde wijze gaat, maar dat is een subjectief begrip, en de meeste mensen nemen niet hun verantwoording, met allerlei problemen tot gevolg.

Reacties (5)
13-12-2005, 11:09 door Anoniem
Gewoon geen fouten maak, maar ja, da's logisch.

-R.
13-12-2005, 11:10 door Sjakie
"Intellectueel eigendom" is een nietszeggende term,
verzonnen door mensen die graag geld krijgen voor gebakken
lucht. Liefst nog dat je die lucht zelf moet bakken na aanschaf.
13-12-2005, 11:19 door hugo_nl
eBay faciliteert cyberterrorisme! Aan banden die ellende!

(Sorry kon het niet laten -- op deze domme wijze worden ook
chatrooms platgegooid en Google Earth locaties gecensureerd....)
13-12-2005, 15:10 door Anoniem
Volgens mij is het interessanter om een gevonden exploit geheim te houden, daar een scriptje (virus, trojan etc.) voor te schrijven en wachten tot er zo'n 1000 machines "besmet" zijn en dan via IRC dit bot netje verkopen a' 50,- tot 150,- euro per machine! (afhankelijk van het script)

Dit is heel gebruikelijke "handel" in de spam en cracker scene.
14-12-2005, 11:10 door Anoniem
je kunt er ook altijd wel van uit gaan dat als een exploit
publiek gemaakt wordt deze al lang en breed bij de echte
black hats bekend is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.