image

'100.000 dollar niet genoeg voor IE10-lek'

donderdag 7 maart 2013, 11:21 door Redactie, 6 reacties

Het Franse beveiligingsbedrijf VUPEN won afgelopen nacht 100.000 dollar met het hacken van Internet Explorer 10 op een MS Surface Pro tablet met Windows 8, maar volgens de oprichter is dit bedrag niet voldoende om de kosten te dekken. De hack was onderdeel van Pwn2Own, een jaarlijks terugkerende wedstrijd waarbij geprobeerd wordt om lekken in populaire browsers te vinden.

"We hebben lang nagedacht om dit jaar mee te doen, omdat de kosten van een betrouwbare exploit erg hoog zijn. We zijn verschillende weken bezig geweest met het vinden van het lek in IE10 en verschillende weken met het schrijven van een betrouwbare exploit", laat Bekrar tegenover Dennis Fisher van Kaspersky Lab weten. "Zelfs de prijzen van Pwn2Own dekken die kosten niet. Maar we hebben andere technieken."

Sandbox
Volgens Bekrar wordt het schrijven van exploits steeds lastiger. "Java is erg eenvoudig omdat er geen sandbox is. Flash is een ander verhaal en wordt steeds bijgewerkt en Adobe heeft goed werk geleverd met de beveiliging ervan", gaat Bekrar verder. Die stelt dat het kostbaarder is om een exploit voor Flash Player dan voor Java te ontwikkelen.

"We zien dat criminelen van Flash naar Java gaan. We zien niet veel Flash-exploits in het wild." Bekrar vindt dat Oracle Java opnieuw moet ontwerpen. "De codebasis is te groot. Het toevoegen van een sandbox in de browser verandert daar niets aan."

Wat betreft browsers is Bekrar vol lof over Google Chrome, hoewel die browser ook tijdens Pwn2Own sneuvelde. "Chrome is vanwege de sandbox waarschijnlijk het lastigst aan te vallen. De zwakte in Chrome is Webkit en de sterkte is de sandbox."

De reden dat Chrome zo veilig is komt doordat ze niet alleen lekken verhelpen, maar proactief zijn in het oplossen van technieken om de sandbox-beveiliging te omzeilen, besluit de hacker.

Reacties (6)
07-03-2013, 11:32 door [Account Verwijderd]
[Verwijderd]
07-03-2013, 11:45 door Anoniem
Zo werkt dat toch? Je doet mee aan een leuk wedstrijdje, krijgt naamsbekendheid en een prijs ter waarde van een schijntje van de werkelijke kosten die MS anders had gemaakt.
Als je je kosten werkelijk gedekt wilt zien, is er altijd nog de zwarte markt.

Maar ze hebben een punt. Het zou perttig zijn als je inderdaad normaal betaald wordt voor werk dat je voor een ander bedrijf doet.
Daarnaast is er nog marktwerking. Voor een scriptkiddie die in zijn vrije tijd IE aan stukken scheurt, is €100.000 best een bijzonder leuke beloning.
07-03-2013, 11:53 door Anoniem
Door Peter V:
Het Franse beveiligingsbedrijf VUPEN won afgelopen nacht 100.000 dollar met het hacken van Internet Explorer 10 op een MS Surface Pro tablet met Windows 8, maar volgens de oprichter is dit bedrag niet voldoende om de kosten te dekken.
Als dat waar is, waarom doet VUPEN dan nog mee?

Reclame? Zo kunnen ze de exploits makkelijker verkopen.
07-03-2013, 12:48 door Anoniem
Als je enigszins bekend bent met VUPEN zou je weten waarom.
VUPEN is geen "groep" of "team", het is een welvarend bedrijf.
Vele overheden zijn bij ze aangesloten en zijn grootafnemer van hun producten.
Buiten de vele controverses die daarbij komen, verdienen ze hier flink knaken aan.

Ze hebben het prijzengeld van een dergelijk evenement helemaal niet nodig, het is puur reclame.
Aantonen dat zij nog steeds marktleider zijn en nieuwe klanten werven.
08-03-2013, 08:17 door Anoniem
https://www.securityweek.com/podcast-vupen-ceo-chaouki-bekrar-addresses-zero-day-marketplace-controversy-cansecwest

Een podcast met Chaouki Bekrar, de CEO van VUPEN, interview na Pwn2Own. Hieruit blijkt hoe weinig scrupules deze man nog heeft. Exploits worden aan om het even wie verkocht, als het maar geld opbrengt.
Dat met hetzelfde excuus als wapenhandelaars: 'exploits do not kill, bla bla bla'
08-03-2013, 09:23 door Anoniem
"Als dat waar is, waarom doet VUPEN dan nog mee?"

Waarom maken bedrijven reclame ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.