16.500 euro beloning voor Sendmail, IIS of Apache lekken
Ondanks een nieuwe golf van kritiek over het aanbieden van geld voor beveiligingslekken, is beveiliger iDefense een nieuwe "Vulnerability Challenge" gestart. Onderzoekers die een lek in Apache httpd, Berkeley Internet Name Domain (BIND), Sendmail SMTP daemon, OpenSSH sshd, Microsoft Internet Information (IIS) Server of Microsoft Exchange Server vinden, kunnen maximaal 16.500 euro op hun bankrekening verwachten.
De wedstrijd loopt tot 30 september en om deel te nemen moet er via het lek wel willekeurige code uit te voeren zijn. Er mag verder geen social engineering worden toegepast. Standaard zijn de lekken 11.000 euro waard, maar afhankelijk van de kwaliteit van de exploit, leesbaarheid van de exploitcode en documentatie, kan men zo'n 5500 euro extra verdienen.
IDefense koos de techologieen omdat het een goed doelwit zou zijn. Vanwege de moeilijkheid besloot men de competitie tot het vierde kwartaal te laten lopen. "Wat me dwars zit, is dat het letterlijk de oude brandverzekering zwendel door de New Yorkse maffia is. Aan de ene kant verkopen ze de verzekering, maar aan de andere kant betalen ze mensen om de boel in de fik te steken," zegt Paul Henry van Secure Computing, die het een beter idee vindt dat als mensen een wedstrijd willen organiseren, ze dit met hun eigen spullen doen.
# is het veiliger een 'nobody' product te gebruiken dan een
mainstream app? (en dan bedoel ik mainstream open source,
niet closed source, want daar is het volgens mij juist andersom)
Loop je niet het risico door gebruik van een app die geen
hond gebruikt dat vulns daar HEEL lang in blijven en je
eigenlijk langer vuln bent dan met de grote groep mee te gaan?
En voor apache gebruik ik lighttpd (lighty), dat gaat het
helemaal worden :P
http://www.lighttpd.net/
Heb je de lijst vulnerabilities voor lighttpd wel eens bekeken?
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=lighttpd
moet dat te doen zijn lijkt me. Volgens mij zijn IIS 6 en
Exchange 200x een stuk lastiger. Zou mooi zijn als die
producten eens naar echte besturingssystemen geport werden.
niets gevonden is het allemaal prima in orde is.
verleden. Tegenwoordig zit het behoorlijk degelijk in
elkaar. Het enige nadeel is dat het nogal lastig is om goed
te configureren. Aan de andere kant is er ook heel veel mee
mogelijk. Het wordt nog steeds heel veel gebruikt, als er
dus iets grondig mis mee zou zijn dan had dat allang en
breed bekend geweest.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
