'100.000 dollar niet genoeg voor IE10-lek'
Het Franse beveiligingsbedrijf VUPEN won afgelopen nacht 100.000 dollar met het hacken van Internet Explorer 10 op een MS Surface Pro tablet met Windows 8, maar volgens de oprichter is dit bedrag niet voldoende om de kosten te dekken. De hack was onderdeel van Pwn2Own, een jaarlijks terugkerende wedstrijd waarbij geprobeerd wordt om lekken in populaire browsers te vinden.
"We hebben lang nagedacht om dit jaar mee te doen, omdat de kosten van een betrouwbare exploit erg hoog zijn. We zijn verschillende weken bezig geweest met het vinden van het lek in IE10 en verschillende weken met het schrijven van een betrouwbare exploit", laat Bekrar tegenover Dennis Fisher van Kaspersky Lab weten. "Zelfs de prijzen van Pwn2Own dekken die kosten niet. Maar we hebben andere technieken."
Sandbox
Volgens Bekrar wordt het schrijven van exploits steeds lastiger. "Java is erg eenvoudig omdat er geen sandbox is. Flash is een ander verhaal en wordt steeds bijgewerkt en Adobe heeft goed werk geleverd met de beveiliging ervan", gaat Bekrar verder. Die stelt dat het kostbaarder is om een exploit voor Flash Player dan voor Java te ontwikkelen.
"We zien dat criminelen van Flash naar Java gaan. We zien niet veel Flash-exploits in het wild." Bekrar vindt dat Oracle Java opnieuw moet ontwerpen. "De codebasis is te groot. Het toevoegen van een sandbox in de browser verandert daar niets aan."
Wat betreft browsers is Bekrar vol lof over Google Chrome, hoewel die browser ook tijdens Pwn2Own sneuvelde. "Chrome is vanwege de sandbox waarschijnlijk het lastigst aan te vallen. De zwakte in Chrome is Webkit en de sterkte is de sandbox."
De reden dat Chrome zo veilig is komt doordat ze niet alleen lekken verhelpen, maar proactief zijn in het oplossen van technieken om de sandbox-beveiliging te omzeilen, besluit de hacker.
Als je je kosten werkelijk gedekt wilt zien, is er altijd nog de zwarte markt.
Maar ze hebben een punt. Het zou perttig zijn als je inderdaad normaal betaald wordt voor werk dat je voor een ander bedrijf doet.
Daarnaast is er nog marktwerking. Voor een scriptkiddie die in zijn vrije tijd IE aan stukken scheurt, is €100.000 best een bijzonder leuke beloning.
Reclame? Zo kunnen ze de exploits makkelijker verkopen.
VUPEN is geen "groep" of "team", het is een welvarend bedrijf.
Vele overheden zijn bij ze aangesloten en zijn grootafnemer van hun producten.
Buiten de vele controverses die daarbij komen, verdienen ze hier flink knaken aan.
Ze hebben het prijzengeld van een dergelijk evenement helemaal niet nodig, het is puur reclame.
Aantonen dat zij nog steeds marktleider zijn en nieuwe klanten werven.
Een podcast met Chaouki Bekrar, de CEO van VUPEN, interview na Pwn2Own. Hieruit blijkt hoe weinig scrupules deze man nog heeft. Exploits worden aan om het even wie verkocht, als het maar geld opbrengt.
Dat met hetzelfde excuus als wapenhandelaars: 'exploits do not kill, bla bla bla'
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
