Nieuws

Wie is de eigenaar van een exploit?

dinsdag 13 december 2005, 10:25 door Redactie, 5 reacties

Als een security onderzoeker een lek in een programma ontdekt, is hij dan ook de eigenaar van die ontdekking? De meeste mensen zijn het erover eens dat de onderzoeker "credit" moet krijgen voor zijn ontdekking, maar moet hij er ook aan kunnen verdienen?

Als je het aan iDefense of 3COM vraagt krijg je waarschijnlijk "ja" als antwoord. Beide bedrijven kopen exploits van onderzoekers. Veel ontwikkelaars zijn het echter niet met deze gang van zaken eens, omdat het mensen zou aanmoedigen om in programa's te gaan kijken en rommelen. Dit kan het imago van een bedrijf beschadigen als er ernstige lekken gevonden worden.

Laatst werd er zelfs een exploit op eBay aangeboden, hoewel de veilinggigant de veiling verwijderde, was er al 60 dollar geboden. Mogelijk kan dit zelfs tot een "security exploit veiling" leiden, waarbij onderzoekers exploits aan de hoogste bieder kunnen verkopen.

Volgens Seth Fogie is een exploit intellectueel eigendom en moet het ook zo behandeld worden. Hij heeft er geen probleem mee als mensen een exploit willen kopen, zolang dit maar op een verantwoorde wijze gaat, maar dat is een subjectief begrip, en de meeste mensen nemen niet hun verantwoording, met allerlei problemen tot gevolg.

Open-source virusscanner ClamAV krijgt commerciele hulp

Virusschrijvers wensen iedereen een gelukkig nieuwjaar

Reacties (5)

13-12-2005, 11:09 door Anoniem

Gewoon geen fouten maak, maar ja, da's logisch.

-R.

13-12-2005, 11:10 door Sjakie

"Intellectueel eigendom" is een nietszeggende term,
verzonnen door mensen die graag geld krijgen voor gebakken
lucht. Liefst nog dat je die lucht zelf moet bakken na aanschaf.

13-12-2005, 11:19 door hugo_nl

eBay faciliteert cyberterrorisme! Aan banden die ellende!

(Sorry kon het niet laten -- op deze domme wijze worden ook
chatrooms platgegooid en Google Earth locaties gecensureerd....)

13-12-2005, 15:10 door Anoniem

Volgens mij is het interessanter om een gevonden exploit geheim te houden, daar een scriptje (virus, trojan etc.) voor te schrijven en wachten tot er zo'n 1000 machines "besmet" zijn en dan via IRC dit bot netje verkopen a' 50,- tot 150,- euro per machine! (afhankelijk van het script)

Dit is heel gebruikelijke "handel" in de spam en cracker scene.

14-12-2005, 11:10 door Anoniem

je kunt er ook altijd wel van uit gaan dat als een exploit
publiek gemaakt wordt deze al lang en breed bij de echte
black hats bekend is.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer