image

'Slimme hacker verkoopt lekken aan Microsoft'

donderdag 20 juni 2013, 13:46 door Redactie, 3 reacties

Door de levendige handel in onbekende beveiligingslekken kon Microsoft niet achterblijven met een eigen beloningsprogramma, en dat is goed nieuws voor hackers en onderzoekers die problemen in de software van de reus uit Redmond vinden. Dat stelt beveiligingsexpert Robert Graham. Microsoft volgt in de voetsporen van Google, Mozilla en anderen die beloningen voor lekken uitloven.

Voorheen werden hackers die kwetsbaarheden in bijvoorbeeld Windows of Internet Explorer ontdekten alleen bedankt via een naamsvermelding in de Security Bulletin waarmee het probleem werd opgelost. De afgelopen jaren verschenen verschillende marktplaatsen waar onderzoekers gevonden kwetsbaarheden kunnen aanbieden.

Handel
In plaats van een naamsvermelding is het mogelijk om een lek aan een geinteresseerde partij te verkopen, zoals Russische cybercriminelen, Chinese spionnen of de cybersoldaten van de NSA, aldus Graham. "De juiste bug, voor de juiste klant op het juiste moment kan 1 miljoen dollar waard zijn", merkt de expert op. Hij stelt dat zelfs matige bugs nog steeds 10.000 dollar kunnen opleveren.

"Dit betekent dat Microsoft er niet langer op kan rekenen dat mensen lekken rapporteren, ze moeten tegen de Russen, Chinezen en Amerikanen bieden."

Risico
De beloningen van leveranciers zoals Microsoft en Google zijn lager dan de 'marktwaarde', en dat is volgens Graham niet zonder reden. "Als je aan de Russen verkoopt, kan jezelf of een familielid worden ontvoerd. Als je aan de NSA verkoopt, kan het zijn dat de FBI je huis binnenvalt."

Een andere optie is het verkopen van een lek aan een tussenpersoon, die ook een deel van de opbrengst wil. "Dus de veiligste en betrouwbaarste route is het verkopen van je bug aan de leverancier, zelfs voor een fractie van de prijs", besluit Graham.

Reacties (3)
22-06-2013, 16:02 door [Account Verwijderd]
[Verwijderd]
23-06-2013, 16:19 door Anoniem
Alstublieft, vertrouw me. Blijf weg bij Microsoft.

Hier een artikel van Security zelf.
'Hackers bang voor microsoft'
https://www.security.nl/artikel/32203/%22Hackers_bang_voor_Microsoft%22.html

Google-techneut vindt Microsoft 'extreem vijandig' na melden lek
http://www.nu.nl/tech/3481928/google-techneut-vindt-microsoft-extreem-vijandig-melden-lek.html
23-06-2013, 16:22 door Anoniem
"Ik heb niet genoeg vrije tijd om aan die gekke Microsoft-code te werken, dus ik heb jullie hulp nodig", aldus de Google-medewerker. "Maar weet wel dat Microsoft beveiligingsonderzoekers altijd extreem vijandig behandelt. Daarom raad ik iedereen die over dit onderwerp contact met Microsoft wil opnemen aan om een pseudoniem, het programma Tor en een anoniem e-mailaccount te gebruiken."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.