wie schnell man doch Lücken findet

Smalltalk
Antworten
inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

wie schnell man doch Lücken findet

Beitrag von inne » 15.06.2020 18:07:20

Fabebook hat einen Hack in Linux/Tails in Auftrag gegeben und prompt bekommen. Das ist alles legitim. Mich erstaunt nur wie das man so einfach einen Angriff finden konnte. Und da Tails auf Debian aufbaut.

https://www.heise.de/news/Facebook-gab- ... 81943.html
Zuletzt geändert von inne am 15.06.2020 19:05:58, insgesamt 1-mal geändert.

DeletedUserReAsG

Re: wie schnell man doch Lücken findet

Beitrag von DeletedUserReAsG » 15.06.2020 18:11:58

Folgendes wird dich schockieren: heutige Soft- und auch Hardware ist dermaßen komplex, dass es höchst erstaunlich wäre, wenn sich bei einem System kein Fehler finden ließe.
inne hat geschrieben: ↑ zum Beitrag ↑
15.06.2020 18:07:20
Und da Tails auf Debian aufbaut.

… war’s trotzdem ein sehr auf Tails zugeschnittener Angriff. Was nicht heißt, dass es keine ausnutzbaren Lücken in einem Debiansystem geben wird, im Gegenteil (siehe oben). Nur hier ist’s halt irrelevant.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: wie schnell man doch Lücken findet

Beitrag von inne » 15.06.2020 18:33:50


… war’s trotzdem ein sehr auf Tails zugeschnittener Angriff.
Technisch im Sinne der ausgenutzen Software oder weil es um De Anonymisierung ging?

willy4711

Re: wie schnell man doch Lücken findet

Beitrag von willy4711 » 15.06.2020 18:41:17

Das man sich da wundert, scheint mir auch etwas befremdlich.
Ich weiß auch nicht, warum man immer wieder davon ausgeht, Debian oder - weiter gefasst - Linux sei sicher.
Ein professioneller Angreifer kommt wahrscheinlich in jedes System.
Wir "Linuxer" haben halt den Vorteil, das wir Exoten sind, und sich niemand die Mühe machen wird, Maleware
für Linux zu entwickeln, die massenhaft verteilt wird.
Das Kosten / Nutzen Verhältnis ist einfach schlecht :mrgreen:
Wie immer empfehle ich einmal wöchentlich einen Blick bei CERT-Bund vorbei zuwerfen, um sich "auf den Topf zu setzten"
https://www.cert-bund.de/overview/AdvisoryShort

Die Gretchenfrage ist ja die: Wie lange bestehen diese Lücken bereits ?
Werden alle Schwachstellen gemeldet? ---> Wahrscheinlich nicht :facepalm:

Wirklich sicher sind nur Brieftauben, solange sie nicht dressiert wurden,
bei irgendwelchen Schlapphüten Zwischenstation zu machen :mrgreen:

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: wie schnell man doch Lücken findet

Beitrag von wanne » 15.06.2020 19:22:01

Laut Facebook war die Lücke war im Debian schon gefixt (sonst hätte sie nicht in der Vorabversion von Tails drin sein können) und Facebook war schnell genug dazwischen zu gehen bevor das nach Tails wandert. In Sofern ist die Aussage von Vice, dass das ein zero-day war verwunderlich.
In Vice wird behauptet, dass die Lücke ohne das wissen der Entwickler gepatched wurde, was den Exploit laut Definition wirklich zu einem 0-Day machen würde. (Exploit existiert, bevor die Entwickler bescheid wissen. Entfernen sie die Lücke ohne darüber zu wissen ist es natürlich auch nach dem Patch ein 0-Day.) Aber das passt nicht zur Policy von debian nur Fehler-Patches einzuspielen und sonst keine Neuerungen einzuführen.
Einzige Erklärungen, wie das trotzdem passieren kann, die mir einfallen:
  • Die Lücke war im Firefox/Tor-Browser, der auch in Debian Feature-Updates bekommt.
  • Es war kurz vor der Veröffentlichung von Tails 4.0. Und der Fix kam mit buster. Dann wäre die Lücke heute noch in Debian stretch. – Und das Vorgehen von Facebook wäre massiv verantwortungslos.
  • Der Fix war wirklich in einem der Spezialteile von Tails. Kann ich mir aber nicht vorstellen. Abgesehen von den FF configs ändert sich nicht viel das ist ein Febian Live mit angepassten Logos und ein paar iptables regeln. Eine mögliche unsichere FF-Config könnte ja ebenfalls jemand anders haben und weiterhin betroffen sein.
Ich tippe eher dass es sich da um eine ein bisschen wage Definition von 0-Day handelt. Ein Entwickler hat nen Fehler gefunden und behoben, den aber nicht für sicherheitskritisch eingestuft. Debian hat gepatched und irgend jemand hat das gesehen und gemerkt, dass man den Fehler für nen Angriff missbrauchen kann. Das hat Facebook dann als 0-Day verkauft bekommen und ausgenutzt.
Wir "Linuxer" haben halt den Vorteil, das wir Exoten sind, und sich niemand die Mühe machen wird, Maleware
für Linux zu entwickeln, die massenhaft verteilt wird.
Egal wie häufig das wiederholt wird: Es ist einfach absoluter Quatsch. Nur weil Windows seine Logos besser platziert dürfte der Marktanteil lächerlich sein. Alleine die Ganzen Plastikrouter und Küchengeräte auf denen überall Linux läuft dürfte die Anzahl der Windwos-Maschienen weit übertreffen. Da die meisten Server und Maschinen (inklusive Autos) auf Linux laufen sind sie auch die deutlich lohnenderen Angriffsziele. Und btw. auch die exposteren: Vor jedem Windows-PC steht meistens nochmal ne BSD oder Linux-Firewall. (Wobei ich bezweifle, dass die signifikant zur Sicherheit beitragen.) Während gerade Autos und Co. meist schlicht nen UMTS-Modem eingebaut haben und so direkt am Internet hängen.
Die Wahrheit ist, das DOS ein paar Design Entscheidungen gemacht hat, die mit Sicherheit nicht zu vereinbaren sind und MS sich selten Getraut hat Gräben einzureißen und Kompatibilität kaputt zu schießen. Hat man mit Windows 2000 vieles richtig gemacht wurde erst bei Windows Vista und 8 hat man die DOS-Kompatibilität hart aufgegeben (sehr zum Leidwesen der Nutzer) und dann hat sich da vieles Geändert. Die Nutzung ist nicht zurück gegangen und die erfolgreichen Angriffe sinken. Die Hochzeiten für Malware war 95-XP wo Windows noch schön kompatibel zu DOS war aber massiv genutzt wurde.
Auf der anderen Seite sehen wir mit AppImage/Snap... und Systemd, dass viele der Konzepte, die Windows unsicher gemacht haben jetzt auch unter Linux einziehen. (Software ohne Qualitätskontrolle direkt vom Entwickler; viel Kommunikation mit Diensten, die als root/Admin laufen und vor allem: Autokonfiguration.) Alles Sachen die Entwickler lieben aber tödlich für Security sind.
Die Wahrheit ist denke ich eher Profi-Betriebsystem vs. möglichst bequem: Windows wird immer mehr zu nem Profi-OS weil die DAUS auf Android und iOS umsteigen. Deswegen traut sich MS immer mehr Schritte zu unternehmen, die Windows weniger "User-Friendly" aber sicherer machen. Während Linux immer massentauglicher gemacht wird – Und damit anfälliger wird.
rot: Moderator wanne spricht, default: User wanne spricht.

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: wie schnell man doch Lücken findet

Beitrag von schwedenmann » 15.06.2020 19:51:34

qwillyHallo


@wanne
Egal wie häufig das wiederholt wird: Es ist einfach absoluter Quatsch. Nur weil Windows seine Logos besser platziert dürfte der Marktanteil lächerlich sein.
was auch wieder Quatsch ist, denn wenn man nur die Desktopsysteme rechnte, dann hat Linux, wie mac nix, aber auch gar nix zu melden. Wenn du dann noch siehst, das über die Desktops eben die malware ins system gelangt und eben nciht über die server, dann stimmt die die Ausage von @willy41711 natürlich, außerdem kommt noch hinzu, das in der überwiegenden Zahl von Firmen auch MS-Server inc. Outlook eingesetzt werden. Brauchst ja nur bestimmte Branchen (der ganze Krankenhauskompley, da läuft mit Sicherheit nirgendwo ein linux oder BSD) oder die komplette Verwaltung, alles Win-Desktops.

Klar kannst du Router und iot-Geräte mit Linux angreifen und kapern, ist aber nciht besonders lunkrativ, außer du nutzt sie für andere lohnendere Angriffe, oder fürs mining. Wenb mein Router oder mein Pc gehackt würde, wäre der fin. Schaden sehr gering und würde mich nichtt kratzen (ärgerlich für die Bildr und PDF die ich im laufe der jahre gesammelt habe, aber es gibt schlimmeres als deren Verlust), bei Firmen oder Verwaltungen sähe das aber andres aus.

mfg
schwedenmann

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: wie schnell man doch Lücken findet

Beitrag von wanne » 16.06.2020 01:59:24

schwedenmann hat geschrieben: ↑ zum Beitrag ↑
15.06.2020 19:51:34
Wenn du dann noch siehst, das über die Desktops eben die malware ins system gelangt und eben nciht über die server,
Warum?! Server sind Tag und Nacht von überall aus der Welt aus erreichbar und müssen mit jedem dahergelaufen reden während Desktops erst mal mit dir auf die Art reden wollen müssen. Sind also deutlich einfacher anzugreifen. Sie beheimaten meist hundert mal wertvollere Daten. Was glaubst du was bringt mehr Geld ein Einbruch bei Amazon oder Google oder einer auf deinem PC? Warum kommt die Malware dann über den PC? WEIL DA EINFACHER REIN ZU KOMMEN IST. Es gibt keinen anderen Grund warum das so ist. Du darfst hier nicht Ursache und Wirkung verdrehen
Klar kannst du Router und iot-Geräte mit Linux angreifen und kapern, ist aber nciht besonders lunkrativ
Was dänkst du wo ist der Schaden größer? Wenn jemand bei Google dein PC nicht mehr läuft oder wenn bei GE die Bänder stehen?! Ich würde mal tippen schon wenn dein Auto gegen den Nächsten Baum fährt ist der Schaden um Größenordnungen anders wie wenn dein PC nicht mehr läuft. Und da läuft mit sehr hoher Wahrscheinlichkeit Linux. (Zumindest wenn es ein deutscher Hersteller ist, wäre ich mir da zu 100% sicher für andere wird es ähnlich aussehen.) Und oft genug hängt das mittlerweile btw. auch am Internet.
Wie gesagt sowohl in Masse (dank der IoT-Geräte) wie auch an Wert (dank der ganzen Server und Industriemaschinen) übersteigen die derer von

Brauchst ja nur bestimmte Branchen (der ganze Krankenhauskompley, da läuft mit Sicherheit nirgendwo ein linux oder BSD)
Oh doch das ist fast alles BSD Nur wo ein Display mit mehr als 800p dran hängt läuft oft Windows. Ausgenommen X-ray und CT. Da ist praktisch immer Linux am Werkeln.
oder die komplette Verwaltung,
Ja. Und das ist der absolut einzige Bereich.
Klar kannst du Router und iot-Geräte mit Linux angreifen und kapern, ist aber nciht besonders lunkrativ, außer du nutzt sie für andere lohnendere Angriffe, oder fürs mining. Wenb mein Router oder mein Pc gehackt würde, wäre der fin. Schaden sehr gering und würde mich nichtt kratzen (ärgerlich für die Bildr und PDF die ich im laufe der jahre gesammelt habe, aber es gibt schlimmeres als deren Verlust), bei Firmen oder Verwaltungen sähe das aber andres aus.
mfg
schwedenmann
[/quote]
rot: Moderator wanne spricht, default: User wanne spricht.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: wie schnell man doch Lücken findet

Beitrag von inne » 16.06.2020 10:17:22

In Debian stable sind 0-Days eh lohenswerter zu suchen, weil man davon ausgehen kann, diese länger Lauffähig an den Mann zu bringen (IMO) - also verkaufen? Weil der Code sich nicht so schnell ändert? Nur wie groß ist halt die Verbreitung von Debian - das kann ich nicht sagen. Ich kenne zumindest einen Angriff änhlich wie im Link oben - wobei ich mal schauen müsste, ob der in Buster mitlerweile gefixed ist, weil bekannt ist der. Aber lange Zeit war er dennoch nicht gefixed.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: wie schnell man doch Lücken findet

Beitrag von wanne » 16.06.2020 13:51:20

inne hat geschrieben: ↑ zum Beitrag ↑
16.06.2020 10:17:22
Ich kenne zumindest einen Angriff änhlich wie im Link oben
Kannst du den bitte an den passenden Maintainer melden! Wenn dir englisch nicht so liegt, dann gerne auch hier an mich.
In Debian stable sind 0-Days eh lohenswerter zu suchen, weil man davon ausgehen kann, diese länger Lauffähig an den Mann zu bringen (IMO) - also verkaufen?
Nein.
Im Normalfall fixt sich ein Lücke nicht von alleine. Im Normalfall wird eher Code hinzugefügt und nicht entfernt. Wenn du also eine Lücke in einer neueren Version findest, kannst du sie später ja trotzdem in Stable verwenden. Auf der anderen Seite: Wenn du eine 0-day Lücke findest, die in stable ist, ist sie auch in jeder neueren Version. In sofern unterscheidet sich der Wert nicht großartig.
Die aller meisten gucken eher auf neuen Code weil in dem weniger andere gesucht haben. Und entsprechend das finden einfacher ist. Die meisten Lücken schaffen es nie nach stable. Da sind also schlicht weniger. Auf der anderen Seite ist der Code natürlich besser überwacht und du hast dann ein größeres Risiko, dass die Lücke noch ein zweiter findet und an die Entwickler meldet. In sofern sind alte Lücken schon wertvoller aber eben nur weil es da weniger zu finden gibt.
rot: Moderator wanne spricht, default: User wanne spricht.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: wie schnell man doch Lücken findet

Beitrag von inne » 16.06.2020 14:23:33

Danke für den Blickwinkel (Der wohl eher aus der Praxis stammt),
Auf der anderen Seite ist der Code natürlich besser überwacht und du hast dann ein größeres Risiko dass die Lücke noch ein zweiter findet und an die Entwickler meldet.
Das stimmt natürlich. Aber das ist immer darauf begründet, das der zweite den Bug dann auch bekannt gibt (schreibst Du ja selbst). Aber es gibt bei den Projekten wie Mozilla, Google, Microsoft wohl auch Finderlohn, genau deswegen.

Wegen dem Bug, da meinte ich den im vim (vlt. kannst Du dir dann schon denken welchen ich meine - Mit dem Steuerkommentar) und Fefe hatte dann auch ein Beispiel mit geliefert. Ich suche den nachher mal raus - denn jetzt auf ad-hoc finde ich den Blogeintrag von Fefe dazu nicht wieder und gesammelt habe ich den nicht.(
(Ja und der mag nicht so das Ding gewesen sein^^)

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: wie schnell man doch Lücken findet

Beitrag von inne » 16.06.2020 14:46:04


Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: wie schnell man doch Lücken findet

Beitrag von OrangeJuice » 16.06.2020 15:12:43

In bestimmten Szenarien setzt GnuTLS Schlüssel auf Null. Das führt dazu, dass sich bei TLS 1.2 aufgezeichnete Sitzungsdaten nachträglich entschlüsseln lassen. Beim aktuellen TLS 1.3 könnte sich ein Man-in-the-Middle in die Verbindung einklinken, um Daten mitzulesen.
...
Zwei Jahre unentdeckt

Dieser Fehler (CVE-2020-13777) betrifft alle GnuTLS-Versionen seit 3.6.4, das bereits 2018 veröffentlicht wurde; erst GnuTLS 3.6.14 beseitigt ihn. Die Entwickler empfehlen ein schnelles Upgrade. Ein wenig entschärft wird die Situation lediglich dadurch, dass standardmäßig nicht viele Programme die Bibliothek GnuTLS standardmäßig benutzen. Die prominentesten dürften Exim und Dovecot auf Debian sein. Wer also Debian einsetzt, sollte sein System schleunigst checken.
heise.de
Die Lücke schlummerte auch schon länger.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: wie schnell man doch Lücken findet

Beitrag von wanne » 16.06.2020 17:11:19

inne hat geschrieben: ↑ zum Beitrag ↑
16.06.2020 14:46:04
Ich meine der hier wars: https://github.com/numirias/security/bl ... -neovim.md (https://blog.fefe.de/?ts=a20957d1)
Gefunden: 2019-06-04
Bei Fefe: 2019-06-05
Offiziell bei CVE eingegnangen: 2019-06-05
Buster-amd64-patch: 2019-06-15
Stretch-amd64-patch: 2019-06-22 arm ein Tag vorher.
Jessie-amd64-patch: 2019-08-03

Das ist jetzt bei weitem keine Glanzleistung. Aber wenn man bei Stable ist waren es 11 Tage oldstable 18. Lange Zeit finde ich übertrieben.
Ansonsten wird vor eventuellen Sicherheitsproblemen von modlines in der Vim-Doku gewarnt. Bei mir sind die aus. Ich glaube das ist deswegen auch per default aus. (Hat jemand was neu installiertes mit defult configs?) Trotzdem soll das natürlich gar nicht. Dass in der Doku steht, dass die software eventuell Sicherheitslücken haben könnte nutzt dem Nutzer wenig und das ist absolutes Worst Case, was da passieren kann und ich meine vim hat schon öfter solche Probleme gehabt.
Die Lücke schlummerte auch schon länger.
Nicht so gaaanz lange. In jessie und stretch ist sie nie rein gekommen. Das meine ich mit die meisten Bugs schaffen es nie in langsamere Distros. Lediglich Buster-User hatten Probleme. – Esseiden man hat Session-Tickets abgeschaltet. War mit schon immer suspekt...
Aber da war die Reaktion schnell: Gefunden 2020-06-03 gepatched 2020-06-06 – 3 Tage. Aber drin war sie natürlich seit Buster raus kam. Das kam am 6. Juli 2019 raus.
rot: Moderator wanne spricht, default: User wanne spricht.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: wie schnell man doch Lücken findet

Beitrag von inne » 16.06.2020 17:14:30

wanne hat geschrieben: ↑ zum Beitrag ↑
16.06.2020 17:11:19
Das ist jetzt bei weitem keine Glanzleistung. Aber wenn man bei Stable ist waren es 11 Tage oldstable 18. Lange Zeit finde ich übertrieben.
Ok Asche über mein Haupt sognau habe ich das nicht gemessen, aber ich meine unter Debian ging das damals noch, wo es unter Ubuntu schon nicht funktionierte (Vlt ist dort auch nur modeline=0 der default). Aber mich kann meine Erinnerung da auch täuschen. 11 Tage, ich hätte es viel Länger geschätzt aus meiner Erinnerung :facepalm:

debianuser4782
Beiträge: 196
Registriert: 11.03.2018 23:09:05

Re: wie schnell man doch Lücken findet

Beitrag von debianuser4782 » 16.06.2020 22:31:47

Ich meine, da waren zu 50 % menschliches Versagen seitens des Sexualstraftäters dabei. Es handelte sich neben dem Ausnutzen einer Sicherheitslücke auch um "social-engineering". Das FBI hat das Überlegenheitsgefühl des Täters zum Opfer ausgenutzt. Der Täter hat eine riesige Datei, die ihm objektiv gesehen ein Kontrahent zugeschickt hat (das Opfer), auf einem PC mit Internetanschluss geöffnet, anstatt diese Datei offline in einer VM mindestens ohne virtuelle Netzwerkkarte zu öffnen. Das war vor dem Hintergrund des ihm drohenden Strafmaßes ziehmlich riskantes Verhalten, was aber wiederum typisch für solche Täter ist, die sich zudem überlegen fühlen. Dass in dem präparierten Video ein Exploit eigearbeitet war, der imstande war aus einer VM u.a. ohne virtuelle Netzwerkarte auszubrechen und danach weitere Instruktionen auszuführen mag ich bezweifeln.
Andereseits müsste der Täter ja auch andere Sachen gemacht haben - außer der Benutzung von Tails - um seine Identität zu verschleiern. Denn wenn er auf Facebook aktiv war, müsste er sich dafür ja mehrmals dort eingeloggt haben. Dass man dann lediglich mit der Benutzung von Tails noch anonym ist kann ich nicht nachvollziehen.
Bezüglich des Designs von Tails frage ich mich, warum man nicht einen minimaleren Desktop als Gnome benutzt. Die Prioritäten für die Absicherung eines Sicherheits-OS liegen aus professioneller Sicht bestimmt woanders. Auch ist Tails ein Gemeinschaftsprojekt, bei welchem man andere wichtige Projekte mit einbeziehen möchte, um hierdurch wiederum synergetische Effekte hervorzurufen. Andererseits könnte die Reduzierung von Code zur Absicherung eines OS nicht unwesentlich beitragen.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: wie schnell man doch Lücken findet

Beitrag von inne » 17.06.2020 00:30:58

Ich fand/nahm an, dass die Tatsache das man ihn so "klassich" hacken musste, um ihn identifierzien zu können eher für Tails und Tor spricht. Da scheinbar alleine das Schattennetz hinter der sog. G-MAFIA das alleine doch nicht konnte.
Andererseits könnte die Reduzierung von Code zur Absicherung eines OS nicht unwesentlich beitragen.
Bestes Beispiel hier.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: wie schnell man doch Lücken findet

Beitrag von wanne » 17.06.2020 00:33:45

Zum Thema wie häufig sowas vor kommt man sieht ja wie häufig da Debian-Security am apt-get upgrade steht.
Im schnitt sind es so ~250 Lücken pro Jahr, die in Debian gefunden werden. Es gibt ~30000 Pakete Dafür dürfte ne Übliche Installation so ca. 3000 enthalten. Das wäre alle zwei Wochen eine.
Dummerweise sind die Pakete mit den meisten Lücken wie Imagemagic,openssl,kernel,pyhton,ruby auch die, die jeder hat. In sofern passt wohl eher 2 pro Woche.
Aber ich bin mir absolut sicher, dass das mit dem alter der Pakete abnimmt. Klar, dass sind jetzt nur die gemeldeten und keine die Geheim gehalten werden. Ich sehe aber keinen Grund, warum das bei den geheim gefundenen anders laufen sollte.
Unseriöse Nutzer auf reddit meinen, das Facebook hat $1.8Mio für die Lücke gezahlt. Ich weiß nicht, wie der übliche Verdienst eines für den Schwarzmarkt Sicherheitslückensuchers aussieht. Aber ich tippe mal sa hat eher nicht mal einer gesucht sondern eher ein größeres Team, dass der Dienstleister da angeheuert hat.
Btw dürfte der Finderlohn den Projekten wohl eher in ner anderen Größenordnung liegen. Am Ende müssen auch die auf guten willen und nicht Raffgierigkeit der Finder hoffen. Deswegen ist es so problematisch wenn Konzerne oder Staaten diese Unsummen für sowas ausgeben.
Bei solchen Summen wird vielleicht doch der ein oder andere Finder schwach und meldet sowas nicht. Und so sähen die Preise nicht aus, wenn nur gewöhnliche Krimminelle Sicherheitslücken kaufen würden.
rot: Moderator wanne spricht, default: User wanne spricht.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: wie schnell man doch Lücken findet

Beitrag von inne » 17.06.2020 01:11:28

wanne hat geschrieben: ↑ zum Beitrag ↑
17.06.2020 00:33:45
[...]
Unseriöse Nutzer auf reddit meinen, das Facebook hat $1.8Mio für die Lücke gezahlt. [...]
Btw dürfte der Finderlohn den Projekten wohl eher in ner anderen Größenordnung liegen.
Das auf jedenfall ich meine man bewegt dich da im unteren 5 stelligen bereich wenn überhaupt. Und dann so meine ich gelesen zu haben, muss man auch schon sowas wie ein Root-Login oder Jailbreak haben. Bei Appel und Microsoft, gibt es aber diesen Finderlohn/Bug-Bounty-Programme - zumindest auf dem Papier, ob die dann im Fall auch wirklich Interesse zeigen.

(Ich hätte Konzerne scheiben sollen^^ nicht den Projekte.)

Antworten