image

Kevin Mitnick begint verkoop van zero day-exploits

vrijdag 26 september 2014, 17:29 door Redactie, 9 reacties

De bekende ex-hacker Kevin Mitnick is begonnen met de verkoop van zero day-exploits aan overheden en bedrijven. Mitnick was jarenlang de meest gezochte hacker ter wereld en werd uiteindelijk tot een gevangenisstraf van vijf jaar veroordeeld wegens het inbreken bij verschillende grote ondernemingen.

Na zijn gevangenisstraf startte hij een consultancybedrijf dat zich met security bezighoudt. Nu biedt hij klanten ook de mogelijkheid om zero day-exploits te kopen. Het gaat hier om exploits die misbruik van kwetsbaarheden maken waarvoor nog geen beveiligingsupdate beschikbaar is. De exploits zijn door onderzoekers van Mitnick's bedrijf zelf ontdekt en afkomstig van andere onderzoekers. Mitnick betaalt deze onderzoekers een bepaald bedrag en verkoopt ze vervolgens tegen een hoger bedrag door.

Het komt voor dat onderzoekers worden vervolgd als ze kwetsbaarheden bij bedrijven of overheden vinden en die vervolgens rapporteren. Door de bugs aan Mitnick te melden krijgen ze voor hun werk betaald zonder dat ze worden onderzocht of vervolgd, zo meldt Bright Side of News. De exploits die via "Mitnick's Absolute Zero Day Exploit Exchange" worden aangeboden moeten elk minimaal 100.000 dollar opleveren.

Daarbij laat Mitnick via de website weten dat de exploits alleen aan overheidsinstanties en bedrijven worden verkocht die geverifieerd en gescreend zijn. Verder worden er geen zero day-exploits aan concurrenten van het bedrijf verkocht waarin het lek is gevonden en worden er ook geen exploits verkocht aan overheden waardoor een bedrijf kwetsbaar wordt. De verkoop zou dan ook vooral bedoeld zijn voor organisaties om kwetsbaarheden in hun eigen infrastructuur en omgeving te vinden en die te verhelpen voordat ze bekend worden.

Reacties (9)
26-09-2014, 18:31 door Anoniem
Deze man wordt zo,rijk.
Misschien heeft hij ook de bash bug ondekt,samen met andere onderzoekers.
27-09-2014, 13:08 door Anoniem
Wat een gladjanus is het toch :D
27-09-2014, 17:35 door Anoniem
Mooi eerst de meest gezochte hacker ter wereld.
Nu men in suit!
27-09-2014, 19:44 door Anoniem
Door DeliciouslyImperfect: Mitnick zelf ontkent:
https://twitter.com/kevinmitnick/status/515313897470185472

Yup,. it's a lie...
29-09-2014, 08:45 door choi
Door DeliciouslyImperfect: Mitnick zelf ontkent:
https://twitter.com/kevinmitnick/status/515313897470185472

Hij ontkent dat hij zero-days aan 'hackers' verkoopt maar hij verdient er wel aan als tussenpersoon.

Mitnick’s Absolute Zero-Day™ Exploit Exchange is an exclusive brokerage service through which you can buy and sell zero-day exploits. Due to Mitnick Security’s unique positioning among security researchers and the hacker community, we are able to offer a specialized brokering service by connecting discerning government and corporate buyers with senior security researchers and exploit developers.
https://www.mitnicksecurity.com/shopping/absolute-zero-day-exploit-exchange
29-09-2014, 11:06 door Overcome
Ik moet toegeven dat ik het originele bericht niet heb gelezen, maar de garanties die Mitnick in dit artikel afgeeft zijn flinterdun:

"Verder worden er geen zero day-exploits aan concurrenten van het bedrijf verkocht waarin het lek is gevonden en worden er ook geen exploits verkocht aan overheden waardoor een bedrijf kwetsbaar wordt. De verkoop zou dan ook vooral bedoeld zijn voor organisaties om kwetsbaarheden in hun eigen infrastructuur en omgeving te vinden en die te verhelpen voordat ze bekend worden."

Serieus? Gaat hij tegenwoordig een overheidsmedewerker op zijn blauwe ogen geloven wanneer hij of zij zegt dat de exploit inderdaad alleen maar voor interne security testen wordt gebruikt? En hoe gaat dat screenen van overheden in zijn werk? De Nederlandse overheid zal stellig in aanmerking komen voor het verkrijgen van dergelijke exploits, maar niemand zal mij kunnen garanderen dat die exploit vervolgens niet wordt ingezet tegen Nederlandse burgers, zeker niet met Opstelten aan de macht, die terughacken een uitermate goed idee vindt, en de Nederlandse overheidsmailadressen die her en der opduiken bij bedrijven die spionagesoftware verkopen. Dit is het afgeven van garanties die simpelweg niet gegeven kunnen worden, alleen om een zweem van betrouwbaarheid proberen te bemachtigen. Zeg dan gewoon dat je graag rijk wilt worden en je ook niet weet wat er met die exploits gebeurt, dan ben je in ieder geval nog eerlijk.
29-09-2014, 11:27 door VriendP
Dus uw firewall staat dicht, met uitzondering van SSL VPN met 2-factor authentication en inbound SMTP? Door vulnerabilities als bijvoorbeeld Heartbleed bent u dan alsnog het bokje. Trek maar gewoon de stekker eruit, het ongemak dat dat veroorzaakt is bij lange na niet zo vervelend als het ongemak dat kan ontstaan door de boel "goed beveiligd" te houden.
29-09-2014, 15:14 door Anoniem
Weer de vuilnisbak in met Kevin Mitnick.

Hoe wil je de wereld helpen en veiliger maken met een verkoop tactiek als VUPEN.
Voorgoed opsluiten, zijn doel is alleen rijk worden, niets meer of minder, nog iets. De beste hackers lopen nog altijd rond en daar zul je nooit iets van horen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.