image

16.500 euro beloning voor Sendmail, IIS of Apache lekken

zaterdag 19 mei 2007, 21:13 door Redactie, 9 reacties

Ondanks een nieuwe golf van kritiek over het aanbieden van geld voor beveiligingslekken, is beveiliger iDefense een nieuwe "Vulnerability Challenge" gestart. Onderzoekers die een lek in Apache httpd, Berkeley Internet Name Domain (BIND), Sendmail SMTP daemon, OpenSSH sshd, Microsoft Internet Information (IIS) Server of Microsoft Exchange Server vinden, kunnen maximaal 16.500 euro op hun bankrekening verwachten.

De wedstrijd loopt tot 30 september en om deel te nemen moet er via het lek wel willekeurige code uit te voeren zijn. Er mag verder geen social engineering worden toegepast. Standaard zijn de lekken 11.000 euro waard, maar afhankelijk van de kwaliteit van de exploit, leesbaarheid van de exploitcode en documentatie, kan men zo'n 5500 euro extra verdienen.

IDefense koos de techologieen omdat het een goed doelwit zou zijn. Vanwege de moeilijkheid besloot men de competitie tot het vierde kwartaal te laten lopen. "Wat me dwars zit, is dat het letterlijk de oude brandverzekering zwendel door de New Yorkse maffia is. Aan de ene kant verkopen ze de verzekering, maar aan de andere kant betalen ze mensen om de boel in de fik te steken," zegt Paul Henry van Secure Computing, die het een beter idee vindt dat als mensen een wedstrijd willen organiseren, ze dit met hun eigen spullen doen.

Reacties (9)
20-05-2007, 02:46 door [Account Verwijderd]
[Verwijderd]
20-05-2007, 12:13 door Anoniem
De vraag komt naar boven:

# is het veiliger een 'nobody' product te gebruiken dan een
mainstream app? (en dan bedoel ik mainstream open source,
niet closed source, want daar is het volgens mij juist andersom)

Loop je niet het risico door gebruik van een app die geen
hond gebruikt dat vulns daar HEEL lang in blijven en je
eigenlijk langer vuln bent dan met de grote groep mee te gaan?
20-05-2007, 12:26 door Anoniem
Door rookie
En voor apache gebruik ik lighttpd (lighty), dat gaat het
helemaal worden :P
http://www.lighttpd.net/

Heb je de lijst vulnerabilities voor lighttpd wel eens bekeken?
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=lighttpd
20-05-2007, 20:36 door Anoniem
Sja, Sendmail is een grote gatenkaas. Voor beetje hacker
moet dat te doen zijn lijkt me. Volgens mij zijn IIS 6 en
Exchange 200x een stuk lastiger. Zou mooi zijn als die
producten eens naar echte besturingssystemen geport werden.
21-05-2007, 09:20 door Anoniem
Als we straks maar niet de conclusie gaan trekken dat als er
niets gevonden is het allemaal prima in orde is.
21-05-2007, 09:38 door [Account Verwijderd]
[Verwijderd]
21-05-2007, 11:11 door [Account Verwijderd]
[Verwijderd]
21-05-2007, 11:11 door [Account Verwijderd]
[Verwijderd]
21-05-2007, 11:21 door SirDice
Dat sendmail een gatenkaas zou zijn is iets van het
verleden. Tegenwoordig zit het behoorlijk degelijk in
elkaar. Het enige nadeel is dat het nogal lastig is om goed
te configureren. Aan de andere kant is er ook heel veel mee
mogelijk. Het wordt nog steeds heel veel gebruikt, als er
dus iets grondig mis mee zou zijn dan had dat allang en
breed bekend geweest.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.