Onofficiele Windows en Mac patches binnen 5 uur gemaakt
Nu zero-day exploits vandaag de dag voor bijna iedereen beschikbaar zijn, wachten sommige beveiligingsexperts niet meer totdat de ontwikkelaar of vendor met een patch komt, maar nemen het heft in eigen hand. Zoals Landon Fuller, die tijdens de recente maand van de Apple Bugs allerlei patches schreef voordat Apple dit deed, en ook het Zeroday Emergency Response Team (ZERT) assisteerde bij het ontwikkelen van updates voor verschillende Windows lekken.
De 24-jarige spelletjesontwikkelaar heeft zo'n twee tot acht uur nodig om een patch te schrijven, en gebruikt daar vier praktische stappen voor. Zo bootst hij eerst het probleem na, gaat dan op zoek naar de kwetsbare code, kiest de veiligste manier om een patch te ontwikkelen, die na het testen aan het publiek wordt aangeboden.
In het geval van Apple is Fuller geen tijd kwijt aan het ontwikkelen van lokale versies, omdat er maar één versie van een bepaald stukje software is. Staat de patch online, dan wordt de betrokken vendor gewaarschuwd, en krijgt verdere informatie in het geval er aanvullende problemen zijn aangetroffen, zo laat Fuller in dit interview weten.
klaar hebben, die ze dan een dag van tevoren intrekken....
beschikbaar zijn"
Waar halen ze die sploits vandaan dan?
"Nu zero-day exploits vandaag de dag voor bijna iedereen
beschikbaar zijn"
Waar halen ze die sploits vandaan dan?
Via IRC kananel en forums special opgericht voor uitwisseling
van deze dingen. Jan en Alleman weten deze niet te 'echt' te vinden
maar als je zoekt zijn ze er wel degelijk....
wereldje kan je er zo aan komen.
Maar ze zijn idd niet snel te vinden via websites als security.nl of securityfocus.com
Forums, IRC, FTPs noem maar op. Als je een beetje contacten hebt in het
wereldje kan je er zo aan komen.
Maar ze zijn idd niet snel te vinden via websites als security.nl of
securityfocus.com
Pure bullshit, de scene is heel erg dicht. Als jan en alleman aan 0day
exploits kan komen, zijn ze toch al geen fuck meer waard omdat veel
mensen ze dan al hebben. Misschien meer waard als de sploits op
milw0rm, maar meer ook niet...
Pure bullshit, de scene is heel erg dicht. Als jan en alleman aan 0day
exploits kan komen, zijn ze toch al geen fuck meer waard omdat veel
mensen ze dan al hebben. Misschien meer waard als de sploits op
milw0rm, maar meer ook niet...
Eens.... die whitehats denken dat heel wat hebben met hun public sploits
maar de blackhats op de private forums waar je MOET contributen, hebben
het veel sneller en veel beter uitgewerkte exploits :)
inderdaad, zelf moet je ook contributen, maar dat is toch
niets meer als logisch..
Het is moeilijk om erin te komen, maar het is mogelijk,
zolang je zelf weet waar je mee bezig bent.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
