Dat dit kan en ze niet vervolgd worden, ongelooflijk.

Mooi lijstje van programma's om zoveel mogelijk van weg te blijven, gaat niet altijd lukken maar is wel een poging waard.

Grappig hoe de waarde van een zeroday exploit toeneemt met de grootte van de populatie kwetsbare apparaten en de (kennelijke) veiligheid van die apparaten.
Zo zijn beveiligingslekken in anti-virussoftware kennelijk zo ruim beschikbaar dat ze geen bal meer opbrengen.

Handel drijven met andermans kwetsbaarheden, een interessante inkijk. Een hoger bedrag = omdat iets veelvuldig gebruikt wordt OF omdat het lastiger te kraken is. Een lager bedrag = laat maar, geen van onze klanten belt ons hiervoor op (ze kunnen het zelf wel of verwachten via deze weg niet hun eigen doel te halen).

Bij "payouts for desktops/servers" zijn de bedragen lager, mobile is blijkbaar interessanter. De bedragen voor Windows zijn over het algemeen het hoogste aangeslagen (marktleider).

Wat ik veel erger vind, is dat het software bouwers/leveranciers toegestaan wordt om rommel uit te brengen.
Leer programmeren.nl

En kom niet aan met onbekende functies, of onvoorziene gaten in onderliggende engines.. Dat kun je testen door zelf op zoek te gaan naar je zero-day voordat je het uitbrengt. Dus zeroday-1 zeg maar.

(Ik weet niet of jij software ontwikkeld) Ik vind het een beetje kort door de bocht. Ik schrijf zelf veel web applicaties (backend) en besteed extreem veel tijd/aandacht aan beveiliging maar ik zie ook wel eens iets over het hoofd, daardoor kan je inderdaad (zero day) lekken krijgen.

Wat mij dit zegt al die prijsverhogingen is dat ze niet krijgen wat ze willen en wanhopig hun prijzen daarom verhogen.
Goede zaak dit, zo kan je zien dat de chat apps veiliger worden.

De wereld zou te klein zijn al zou ik een bedrijfje starten wat betaalde voor kwetsbaarheden in huisdeursloten en deze vervolgens door zou verkopen aan een "beperkt aantal" bedrijven en overheden.

"Internet Explorer is echter van de lijst verwijderd"

Omdat onderzoekers het hadden opgegeven vanwege de robuustheid. Ze maakten geen schijn van kans.

Nee omdat het te gemakkelijk is. De beloning is dan te laag. Levert niets op.

Dit is precies wat ik bedoel. Leer goed programmeren. Leer foutloos schrijven. Test. Test. Test. Doe analyses. Doe fault-tree analyse. Logic Flow analyse. Schrijf goede code.

Gez31k hele tijd van programmeurs.. Feitelijk zeg je: Ik kan niet programmeren en lever rommel op.
En die rommel moet je veel voor betalen. En als ik het moet fixen, betaal je ook maar.

Que??

Hoe zou je het vinden als een kok of chirurg de processen en dergelijke zo benaderen?

"Ja, je vlees is beetje vies, zie ik. Wacht ik gooi er wat kruiden over heen, was ik net namelijk vergeten. Moet je wel meer betalen nu"
Misschien vergezocht, maar ik heb het inmiddels echt wel gehad met de IT wereld die alleen maar troep oplevert en zich telkens verschuilt achter "kan toch gebeuren"..

En je bent vast een goede programmeur , maar toch missen er security user stories, die van te voren bedacht kunnen worden.
Vectoren in kaart brengen, fault-tree analyse, risk assessment en nog meer.

Het is niet jij persoonlijk hoor, het is de hele industrie waar ik van baal. M$, Linux, Mac.. etc..

Net als met de discussie van AI, dat het gevaarlijk wordt en te complex.. Misschien is de IT al te complex eigenlijk om het nog goed te kunnen doen...

koffie.. of misschien even een bakje minder.

@Anoniem van 11:30

Uit het gevoelen spreekt dat je weet wat er speelt. Technische IT en dan nog de kleine kring van echte ingewijden weten van de security hoed en de rand en worden gelijk benaderd door de bekende drie- of vier-lettergreep diensten.

De infrastructuur is over het algemeen compleet "geholed". Er worden ontzettende veel basale fouten bij configuraties gemaakt, op servers, op naamservers, bij DNS, bij "best practices". Code die afgeserveerd moet worden, wordt nog gebruikt, zelfs "verlaten"code met alle gevolgen van dien. Openstaande wachtwoorden op makkelijk te hacken SQL servers.

Certificeringsellende, overdreven vertrouwen in https everywhere en gratis pret-certificering en gratis cloud diensten, waar je subdomein ineens jouw sub-domein niet meer is (afraid dot org) en ga zo nog maar even door met de hele litanie.

Developers zijn liever bezig met linke adware en crap-constructies om snel de buit met de dataschuivers te kunnen delen.
Zo de waard is vertrouwt hij zijn gasten (Google en Co) en de rekening zit altijd onder in de zak (malware en narigheid voor eindgebruiker). Hou er dus maar liever over op. Ik zie het niet zo gauw veranderen. Gebrainwashed stelletje jankers zijn het eerder....

De anoniem van 11.30 hier :-)

Ja, het is borked vanaf de eerste laag. Helemaal met je eens. Beginnend bij 'C', TCP/IP, allemaal te vroeg in het diepe gegooid en er mee aan de slag gegaan omdat er feitelijk knollen voor citroenen zijn verkocht. Te snel geld willen maken, toen al.

Dus was zeker geen persoonlijke rant tegen een specifieke programmeur. Eerder tegen de hele industrie.

Hadden we destijds maar ietsjes langer ontwikkeld ipv life te gaan met halve functies.

Tegelijkertijd zal het wel iets menselijks zijn.. iets niet begrijpen en je er toch mee bemoeien :)

Ik hou er over op.

Geluk!

Jij ook 'alle geluk van de wereld' en fijn om gelijkgestemden hier te ontmoeten. Dat geeft de burger tenminste nog moed, alleen al het gevoel dat je niet alleen dit meent of weet of deelt. ;)

Er moet ook echt iets gebeuren via onderricht. Niet in het derde studiejaar een kort kul-verhaaltje over de black, grey and white hats e.d. Eerder duidelijke uiteenzettingen van waarover het bij beveiliging gaan moet. Updaten, patchen, testen, code door unpackers halen en fouten jagen en begrijpen waarom men ze maakt en hoe men ze voorkomt. (Stackoverflow een goede infobron).

Best practices er in hameren, sri hashes genereren, geen certificaten als root installeren, monitoren, nonces gebruiken, signeren, oog voor hoe gecompromitteerd worden kan, de rol van cloaking bij voorbeeld, automatisch gegenereerde malware domeinen, sinkholing en de rol van whitelisten en blacklisten, dns miskleunen opsporen, server info proliferatie (op naamservers bij voorbeeld), exploitvormen, sources en sinks code nazien op "same origin". IDS aanleren (snort, firehole, grunt).

Niet eerste jaars maar zichzelf even javascript laten aanleren eigen maken en alles ophangen aan 1 kapstoktaal. Trouwens is js veel te vroeg ontsnapt aan het brein van de Blaze browser developer, Reich, in de jaren negentig. SQL: ook PHP gebaseerd, net zo'n ramp als heel wat Word Press gepruts buiten de kernel dan (ook op PHP gebaseerd overigens).

Rondlopend op een Hogeschool zie ik heus een en ander bij de developers in spe met hun laptops en hun voorgekookte stackjes. Steeds wijs ik ze op beveiligingszaken en een gedeelte van hen wil echt wel luisteren. Maar bij voorbeeld ze lambda code laten uitrekenen bij een toets als de lambda generator online staat, vind ik echt zonde van de tijd.

Pennengekras samen met een Casio rekenmachine in de tijd van de balpen of moderner hulpmiddelen, zoals genoemd

Dus, beste Anoniem 11:30....., jij kunt 100% garanderen dat je never nooit iets over het hoofd hebt gezien en 100% gegarandeerd nooit iets maar dan ook helemaal niets dat kan leiden tot een lek over het hoofd zal gaan zien gedurende je hele programmeer-loopbaan ?

Bijzonder!
Want als je _aantoonbaar_ zo perfect bent dan zul je ook wel een mega-topsalaris krijgen.

Helemaal eens met je stelling dat het gewoon te complex wordt....

Als programmeurs net zo veel fouten maakten als koks dan werkte werkelijk geen enkel programma.


Hadden ze vanaf de eerste model-T auto's maar voorzien van veiligheidsgordels


SQL is niets mis mee, doet gewoon wat je het vraagt. Dat je gebruikers-input, alle input, voor een programma moet valideren voor gebruik was decennia geleden al bekend. Probleem ligt niet bij SQL

[knip]

Ging mij niet om de fouten, maar meer om de benadering.
Kok maakt een foutje en vraagt je extra te betalen om het goed te maken. Dat klopt niet.

Ik pretendeer zeker niet foutloos te zijn, maar als er iets zou zijn, geef ik mijn klanten geen extra factuur als ik mijn eigen fouten moet oplossen.
Dat is wat er mis is met de IT industrie.

En ja, verder zorg ik er voor dat ik van te voren m'n test scripts heb gebouwd alvorens ik aan de slag ga. (Fault-tree and Logic-Flow analysis).

Elke functionaliteit kan stuk en dan moet je begrijpen waardoor het stuk kan gaan. Dus eerst uittekenen ipv meteen aan de slag te gaan met het knippen en plakken van snippets et all.