image

Hacker: Melden beveiligingslekken is zinloos

dinsdag 12 januari 2010, 15:18 door Redactie, 11 reacties

Het op "verantwoorde" wijze melden van beveiligingslekken bij softwareontwikkelaars is tijdverspilling, aldus een Russische beveiligingsonderzoeker. Evgeny Legerov liet onlangs weten dat hij de komende maand verschillende zero-day kwetsbaarheden in veel gebruikte zakelijke software gaat onthullen, zoals Mysql, IBM DB2, Lotus Domino en Oracle. Lekken waar nog geen patch voor is, maar die de ontwikkelaar niet van tevoren te zien krijgt. "Na lang genoeg met leveranciers te hebben gewerkt, zijn we tot de conclusie gekomen dat het gewoon tijdverspilling is", zegt Legerov.

Als voorbeeld geeft de hacker een twee jaar oud lek in RealPlayer dat hij binnenkort zal publiceren. De kwetsbaarheid werd op verantwoorde wijze bij ontwikkelaar RealNetworks gemeld, maar die ondernam geen actie. De uitspraak van Legerov doet de discussie over 'responsible disclosure' weer opnieuw opwaaien. Sommige onderzoekers kiezen voor full-disclosure, het meteen openbaar maken van een kwetsbaarheid, omdat leveranciers dan gedwongen zijn een patch te ontwikkelen. Andere hackers vinden dat bedrijven de tijd moeten krijgen om een lek te dichten voordat men het publiek waarschuwt.

Onverantwoord
Legerov was de afgelopen jaren ook actief bij TippingPoint’s Zero-Day Initiative en Verisign’s iDefense Vulnerability Contributor Programma. Beide beloningsprogramma's betalen hackers voor het melden van kwetsbaarheden. Een goede onderzoeker zou makkelijk 3.500 tot 7.000 euro per maand kunnen verdienen met het verkopen van exploits aan één van de twee partijen, zo merkt Legerov op. Dit keer kiest hij toch voor full-disclosure, "omdat het mensen laat publiceren wat ze willen, zonder te worden gemodereerd." Gegeven het aantal bedrijven dat van de getroffen producten afhankelijk zijn, noemt McAfee's Dmitri Alperovitch de werkwijze van de hacker onverantwoord.

Reacties (11)
12-01-2010, 15:27 door Preddie
helemaal mee eens .... het is en het blijft zinloos, je lult vaak ook nog een tegen mensen met een stropdas die nog net geen instructieboekje nodig hebben om ze hun kont af te laten vegen (naja afvegen is het nu ook niet echt, het is meer uitsmeren) , laat staan dat ze jou begrijpen en de ernst van de zaak in zien ....

btw het verkopen van je exploits is nog wel goeie business ook ;)
12-01-2010, 15:35 door Anoniem
Ik zou het zinvoller vinden als men het meldt bij de ontwikkelaar en er een tijdslimiet aanhangt. Zo van "ik heb deze en deze vulnerability gevonden en ga die 30 dagen vanaf nu publiceren". Dan zijn ze gewaarschuwd, en als ze net zo onverantwoord omgaan ermee als RealNetworks, dan mogen ze op de blaren zitten, want twee jaar wachten is natuurlijk onacceptabel!
12-01-2010, 15:39 door MrBil
Door Predjuh: helemaal mee eens .... het is en het blijft zinloos, je lult vaak ook nog een tegen mensen met een stropdas die nog net geen instructieboekje nodig hebben om ze hun kont af te laten vegen (naja afvegen is het nu ook niet echt, het is meer uitsmeren) , laat staan dat ze jou begrijpen en de ernst van de zaak in zien ....

btw het verkopen van je exploits is nog wel goeie business ook ;)
Mee eens -:)

Een zeer goede business!
12-01-2010, 17:03 door Anoniem
MrBil en Predjuh

Ik loop al maanden te zeulen met een aantal sploits die ik wil verkopen(zonder te zeggen te verklappen in welke software).
Kun je me misschien aangeven waar er fatsoenlijk geld te krijgen is voor exploits?

ik heb bijvoorbeeld zelf veel mensen op 26c3 gevraagd maar niemand wist iets.

Greetingz,
Jacco
12-01-2010, 17:11 door Anoniem
Dus wat blijft er dan nog over van de beweringen dat Firefox zo goed is omdat het beveiligingslekken zo snel repareert? Men lult maar en men lult maar. Ik blijf maar met IE8 werken, want ik heb nou wel genoeg slap gelul gezien dat alles zoveel beter is dan IE.
12-01-2010, 17:51 door Anoniem
Valt me net op dat een full-disclosure verboden is, als de ACTA er straks is.

Mag de provider je gaan arresteren. Immers je breekt wellicht iemands vergrendeling en je publiceert daarna ook nog copyrighted material en wellicht dat je patch een software patent breekt....

Ik kan niet wachten op die veiliger wereld van de toekomst ;) !

http://action.ffii.org/acta
12-01-2010, 20:50 door Anoniem
@Jacco:

Beter zoeken op 26c3 een volgende keer.

De vraag is wat jij redelijk vindt voor een exploit. ZDI schijnt redelijk te zijn. (zie als indicatie de prijzen voor pwn2own van CanSecWest). Maar over het algemeen hangt het erg af van de vulnerability, product waar de fout in zit en hoe reliable je het kan exploiten.

Ik weet niet hoe jij het zonder te verklappen wilt doen, "hey ZDI: exploit kopen? nee ik vertel niet waarvoor het is" gaat niet echt werken natuurlijk. De ZDI NDA zal waarschijnlijk voldoende bescherming zijn.
13-01-2010, 08:32 door Anoniem
Door Anoniem: Dus wat blijft er dan nog over van de beweringen dat Firefox zo goed is omdat het beveiligingslekken zo snel repareert? Men lult maar en men lult maar. Ik blijf maar met IE8 werken, want ik heb nou wel genoeg slap gelul gezien dat alles zoveel beter is dan IE.
Wat heeft dit artikel nu weer met het verschil tussen FF en IE te maken??

Ben het overigens eens met Anoniem... Geef bedrijven iig de kans het lek te fixen, en geef ze er bijvoorbeeld 14 dagen voor als je niet te lang wilt wachten. Als ze het na 14 dagen niet gefixt hebben is het verder hun probleem...
13-01-2010, 09:46 door Anoniem
Door Anoniem: Dus wat blijft er dan nog over van de beweringen dat Firefox zo goed is omdat het beveiligingslekken zo snel repareert? Men lult maar en men lult maar. Ik blijf maar met IE8 werken, want ik heb nou wel genoeg slap gelul gezien dat alles zoveel beter is dan IE.

Kun je dat toelichten?
13-01-2010, 10:34 door Anoniem
Door Anoniem:
Door Anoniem: Dus wat blijft er dan nog over van de beweringen dat Firefox zo goed is omdat het beveiligingslekken zo snel repareert? Men lult maar en men lult maar. Ik blijf maar met IE8 werken, want ik heb nou wel genoeg slap gelul gezien dat alles zoveel beter is dan IE.

Kun je dat toelichten?
Heel simpel: ons genie VanHoorne en zijn tientallen sok poppetjes zijn weer terug ;-)
Ben het overigens eens met Anoniem... Geef bedrijven iig de kans het lek te fixen, en geef ze er bijvoorbeeld 14 dagen voor als je niet te lang wilt wachten. Als ze het na 14 dagen niet gefixt hebben is het verder hun probleem...
Ook helemaal mee eens!
18-01-2010, 12:36 door Anoniem
Ik ben gestopt met het melden van lekken in websites, tegen management aan lullen heeft absoluut geen zin. Het heeft me ruim een maand geduurd voordat in een webwinkel XSS problemen zijn opgelost, en dat alleen maar omdat ik rechtstreeks de developers te pakken kreeg, want management zag de noodzaak niet om het op te lossen.

Mag het duidelijk zijn dat ik een sterke aversie heb tegen "managers"? Die stropdassen zitten niet op de juiste plek.

R-
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.