Het Franse beveiligingsbedrijf VUPEN heeft de afgelopen dagen 250.000 dollar verdiend met het demonstreren van acht zero-day-lekken en nieuwe technieken om de beveiliging van Windows te omzeilen en lekken in verschillende populaire programma's aan te tonen. Het prijzengeld was onderdeel van de Pwn2Own-wedstrijd in het Toronto, waar in totaal 560.000 dollar was te verdienen.
Dit jaar lag de nadruk op het hacken van browsers en browserplug-ins. VUPEN wist Internet Explorer 10 op Windows 8 te hacken, waarmee het 100.000 dollar verdiende. Firefox op Windows 7 leverde 60.000 dollar op. Gisterenavond volgden Adobe Flash Player en Java, wat het gewonnen prijzengeld met respectievelijk 70.000 dollar en 20.000 dollar deed stijgen.
"We hebben laten zien dat elk programma, elke browser en elk besturingssysteem is te hacken", laat Bekrar weten. Dit jaar was het echter Apple Safari op Mac OS X dat door geen enkele partij werd gehackt.
Flash Player
De exploit voor Adobe Flash Player bestond uit drie zero-day-lekken, een overflow en een manier om de ASLR-beveiliging in Windows te omzeilen. Opmerkelijk genoeg had Bekrar nog voor de poging om Flash te hacken gezegd dat Adobe de beveiliging van de mediaspeler juist had verbeterd en dat exploits voor Flash Player nog nauwelijks in het wild voorkwamen.
Naast het geldbedrag nam het bedrijf ook een stapeltje laptops mee naar huis, aangezien deelnemers de computer waar de hack op werd uitgevoerd mochten houden. VUPEN heeft als businessmodel het vinden en verkopen van beveiligingslekken aan derden, zoals inlichtingen- en opsporingsdiensten. Die kunnen hiermee andere partijen weer in de gaten houden.
De regels van Pwn2Own waren dit jaar veranderd, waardoor de deelnemers ook hun technieken en exploits moesten afstaan. Een lastige opgave voor Bekrar, zo laat hij tijdens een podcast met Ryan Naraine weten. Lekken zouden altijd te vinden zijn, maar een techniek die is ontdek kan niet meer worden gebruikt.
De beloning zou echter goed genoeg zijn en daarnaast beschikt het bedrijf volgens Bekrar in het geval van IE10 over nog veel meer lekken.
Verkoop
Volgens Chaouki Bekrar, CEO van VUPEN, probeerde het bedrijf tot 2010 om leveranciers te overtuigen dat ze onderzoekers een fatsoenlijke vergoeding zouden geven voor het rapporteren van beveiligingslekken, maar zonder succes. "Sommige betalen niets, terwijl anderen slechts een fooi geven", laat Bekrar via Twitter weten.
Wat betreft mensen die klagen over overheidsorganisaties die naar zero-day-lekken zoeken of hiervoor betalen, ligt de verantwoordelijkheid volgens Bekrar bij de leveranciers. Die zouden hun portemonnee moeten trekken, maar laten dit na.
Critici van VUPEN haalden hard uit naar het bedrijf omdat het exploits aan dubieuze regimes zou verkopen, die de kwetsbaarheden vervolgens zouden gebruiken om oppositieleden en activisten te monitoren. Bekrar liet vorig jaar nog weten dat het bedrijf alleen exploits aan democratische regimes verkoopt en herhaalt die uitspraak nu.
Regimes
Tijdens Pwn2Own sprak Bekrar met Jacob Appelbaum van het Tor Project, één criticus als het gaat om de verkoop van zero-day-lekken aan overheden. Het gesprek met Bekrar heeft de mening van Appelbaum echter veranderd. In een tweet stelt de Tor-ontwikkelaar dat het Franse bedrijf alleen aan bekende klanten levert en zichzelf reguleert, en daarvoor applaus verdient.
Daarnaast probeert Bekrar in de podcast met Naraine duidelijk te maken dat de exploits die VUPEN verkoopt alleen door overheden voor strafrechtelijke onderzoeken worden gebruikt en niet voor het bespioneren van onschuldige burgers, hoewel hij hier geen hard bewijs voor kan geven.
"Exploits doden niet, computers doden niet. Als repressieve regimes mensen willen vermoorden hebben ze 'old skool' methoden. Als ze hun tegenstanders willen bespioneren hangen ze camera's in huizen op, houden ze het werk in de gaten. Ze hebben daarvoor geen zero-days nodig."
Deze posting is gelocked. Reageren is niet meer mogelijk.