Je bent een white-hat hacker en hebt een zero-day gevonden in de software van een groot techbedrijf als Google of Facebook. Wat kun je daarvoor vragen? PCM duikt in verscheidene bugbounty-programma's.

Software is altijd lek. Het is een illusie dat je als bedrijf een besturingssysteem of programma kunt maken zonder gaten, maar hoe je daarmee omgaat is een andere vraag. Het is een probleem dat steeds dringender om een oplossing vraagt, maar een eenduidig antwoord is er niet.

Wat een zero-day is

Een gat in software dat door de fabrikant nog niet is ontdekt, heet een ‘zero-day’, iets dat ‘pas 0 dagen’ bekend is bij de softwareleverancier. Zero-days moeten zo snel mogelijk worden opgelost, want iedereen die de software gebruikt zonder een patch is potentieel kwetsbaar voor hackers. Daarbij draait het er echter wel om wie er allemaal weet van een lek, en wat daarmee gedaan wordt.

Inmiddels erkennen de meeste bedrijven wel dat hun software niet perfect is. In plaats van dat onder het tapijt te schuiven is het beter daar verantwoord mee om te gaan. Een aantal jaar geleden kwamen de eerste grote softwarebedrijven dan ook met bug-bountyprogramma’s, die inmiddels zo ingeburgerd zijn dat ieder serieus bedrijf er wel eentje heeft.

Bug bounty

Een bug bounty-programma is de openbare jacht naar lekken in software. In plaats van hopen dat niemand ze vindt, zetten veel bedrijven een eigen programma op om hackers aan te moedigen actief te gaan zoeken naar zwakke plekken in programma’s, websites of servers.

Menig bedrijf heeft nu hele divisies opgezet om datalekken te vinden

Op die manier worden hackers gestimuleerd zelf actief op zoek te gaan naar lekken en om daar op een verantwoordelijke manier mee om te gaan. Bij veel bedrijven gebeurt dat op de achtergrond. Het bug-bountybeleid zit ergens verstopt op de site, alleen te vinden voor wie er specifiek naar zoekt op Google.

Er zijn echter ook genoeg bedrijven te vinden die het anders doen. Neem Google, of Facebook. Die hebben namelijk hele divisies opgezet voor het vinden van datalekken. Facebook staat erom bekend cryptoparties te houden, feestelijke avonden waarin hackers bij elkaar komen om een avond lang firewalls door te breken, te pentesten en het systeem zoveel mogelijk kapot te maken. 

Verdienen aan zero-days

De ‘bounty’ in het programma verschilt van bedrijf tot bedrijf. Veel kleine bedrijven bieden bijvoorbeeld slechts een bedankje, een vermelding op de website met een uitleg van het lek en misschien een klein presentje zoals een powerbank of een usb-stick. 

Dat is voor veel ethische hackers ook genoeg. Whitehat-onderzoekers speuren naar zero-days voor de roem, niet voor het grote geld. Als zij dat willen verdienen, kunnen ze in dienst van bijvoorbeeld het Team High Tech Crime of bij multinationals als Shell veel sneller rijk worden. 

Deze praktijk verandert de laatste jaren echter wel, en dat levert inmiddels frictie op. Waarom zou je nog genoegen nemen met ‘erkenning’ als een miljardenbedrijf zoals Google, Facebook, of Apple beter wordt van jouw ontdekkingen? Steeds vaker vinden hackers dat een bedankje niet genoeg meer is.

Apple was het laatste bedrijf dat daarop insprong. Het programma bood gelijk één van de hoogste beloningen aan van alle bedrijven voor het melden van bugs. Onderzoekers kunnen tot wel 200.000 dollar verdienen met het programma – al zijn minder grote lekken een stuk minder waard.

Verschil in prijs

De prijs van een melding verschilt per bedrijf, maar ook per lek zelf. Daarbij wordt gekeken naar de ernst van het lek, wat je daarmee kunt doen, en hoeveel mensen er potentieel slachtoffer van worden. Ook de uitbetaling is vaak afhankelijk van hoe het lek wordt gepatcht - of juist niet.

Apple looft de hoogste beloning uit: 200.000 dollar

De kwartmiljoen dollar van Apple is bijvoorbeeld de hoogste prijs die het bedrijf betaalt voor een lek, maar dat is alleen voor een exploit waarmee je malafide applicaties kunt installeren. Vind je een lek waarmee je bijvoorbeeld ‘slechts’ malafide code kunt injecteren vanuit de kernel, dan krijg je 50,000 dollar.

De hoogte van de beloning heeft ook te maken met hoeveel mensen mogelijk geraakt worden door de bug. Zo is een lek in Windows meer waard dan een lek in macOS, en een exploit in Chrome meer dan een lek in Firefox. Je moet daarna ook kijken naar hoe makkelijk een lek is uit te buiten. Een lek in Flash is bijvoorbeeld makkelijker te vinden en daarom minder waard. Maar een lek in het zeer goed beveiligde iOS, daar zit wel veel geld in.

Bug bounty prijzen

Ter afronding en om een idee te geven over de bedragen waaraan je kunt denken bij enkele van de bekendste techfirma's, even een kort overzicht van de prijzen die gehanteerd worden.

De (dollar)prijzen verschillen in hoogte, afhankelijk van de ernst van het lek.

Adobe (Flash): 5000 - 30.000
macOS: 20.000 - 50.000
Android: 30.000 - 60.000
Word: 50.000 - 100.000
Windows: 60.000 - 120.000
Firefox: 60.000 - 150.000
Chrome: 80.000 - 200.000

Fresh 'n Rebel introduceert de Clam Ace 2, een draadloze over-ear koptelefoon die technologie en comfort slim samenbrengt. Hij klinkt niet alleen goed, maar past zich ook aan jou aan. Met gepersonaliseerd geluid, intelligente noise cancelling en een batterij die het moeiteloos meerdere dagen volhoudt is dit een koptelefoon die meebeweegt met jouw dag.

Partnerbijdrage - in samenwerking met Fresh 'n Rebel

Stilte wanneer jij dat wilt

Of je nu werkt, reist of ontspant: de Clam Ace 2 helpt je de juiste focus te vinden. Dankzij Adaptive Hybrid Active Noise Cancelling bepaal je zelf hoeveel van de wereld je hoort. De technologie filtert storend geluid weg, en jij bepaalt zelf hoeveel daarvan je wilt dempen. In de My Sound App stel je het niveau eenvoudig bij, afhankelijk van waar je bent – op kantoor, in de trein of thuis op de bank. Zo houd je zelf de controle over wat je wel en niet hoort.

Met de Ambient Sound Mode blijf je alert op wat er om je heen gebeurt. Het omgevingsgeluid wordt subtiel versterkt, zodat je bijvoorbeeld het verkeer hoort of iemand kort kunt aanspreken. De Quick Access-functie maakt het extra handig: houd kort de linkeroorschelp ingedrukt en je schakelt direct over naar hear-through, zonder instellingen te veranderen.

©Fresh ’n Rebel

Geluid dat zich aan jou aanpast

Iedereen hoort anders, en dat merk je pas echt met Personal Sound by Audiodo. Deze technologie, geïntegreerd in de My Sound App, meet met een gehoortest hoe goed jij verschillende frequenties waarneemt. Op basis daarvan wordt een geluidsprofiel aangemaakt dat de muziek afstemt op jouw gehoor. De lage tonen worden iets krachtiger waar nodig, de hoge juist helderder. Zo klinkt elke noot precies goed!

De app geeft bovendien volledige controle over je instellingen. Je kunt de equalizer aanpassen, knoppen een eigen functie geven, het volume begrenzen of batterijbesparing activeren. Alles in één overzichtelijke interface.

©Fresh ’n Rebel

Schakelen zonder onderbreking

De Clam Ace 2 ondersteunt Multipoint Bluetooth, waarmee je twee apparaten tegelijk kunt verbinden. Zo kun je moeiteloos wisselen tussen laptop en smartphone. Een inkomend telefoontje aannemen terwijl je muziek luistert of een video bekijkt? De koptelefoon schakelt automatisch over.

Tijdens gesprekken zorgen twee Environmental Noise Cancelling-microfoons dat je stem helder blijft, zelfs in een rumoerige omgeving. En met Wind Noise Cancelling blijft ook buiten het geluid helder, zelfs als het waait. Dankzij on-ear detectie pauzeert de muziek automatisch als je de koptelefoon afzet, en gaat hij verder zodra je hem weer opzet. Met het volumewieltje en de klikbare knop op de oorschelp bedien je muziek, noise cancelling en spraakassistent zonder je telefoon erbij te hoeven pakken.

©Fresh ’n Rebel

Dagenlang luisteren zonder opladen

Een van de grootste pluspunten van de Clam Ace 2 is de speeltijd. Met meer dan 100 uur luisteren op één lading hoef je nauwelijks nog aan opladen te denken. Zelfs met actieve noise cancelling ingeschakeld haal je nog 60 uur speeltijd, en met tien minuten snelladen heb je alweer acht uur muziek. Handig als je vaak onderweg bent.

Het draagcomfort is net zo goed doordacht. De zachte oorkussens vormen zich naar je oren, terwijl de flexibele hoofdband ook bij lange luistersessies prettig blijft zitten. Na gebruik klap je de Clam Ace 2 eenvoudig in en berg je hem op in het meegeleverde tasje.

Kleur en karakter

Fresh 'n Rebel staat bekend om zijn frisse kleuren, en dat zie je terug in de Clam Ace 2. Van subtiel Ice Grey en Storm Grey tot opvallender Dreamy Lilac, Dried Green, True Blue en Pastel Pink – er is altijd een uitvoering die bij je past. Welke kleur je kiest, maakt voor de prijs geen verschil: die is voor elke tint 99,99 euro.

©Fresh ’n Rebel

Dit maakt de Clam Ace 2 bijzonder

De Clam Ace 2 past zich aan jou aan. Hij filtert storend geluid weg, stemt het geluid af op jouw gehoor met Personal Sound by Audiodo en houdt het moeiteloos dagenlang vol. Een slimme koptelefoon die meedenkt, comfortabel zit en altijd klaarstaat. Zoals het hoort. Zoals jíj het hoort!

In de rubriek Waar voor je geld gaan we op zoek naar bijzondere producten voor een mooie prijs. Vinyl is de laatste jaren weer helemaal terug, maar die kun je natuurlijk alleen afspelen op een platenspeler. Wij vonden vijf interessante modellen voorzien van een stofklep, voor minder dan 275 euro.

Platenspelers worden steeds vaker aangeboden, en ook op Kieskeurig.nl zien we ze meer en meer in de verschillende aangesloten webshops. Wij vonden vijf mooie exemplaren voor je die ook nog eens zijn voorzien van een klep om het mechanisme en je platen te beschermen tegen stof.

Sony PS-LX310BT

De Sony PS-LX310BT is een volautomatische platenspeler. Dit betekent dat je met een druk op de knop de arm naar de plaat kunt bewegen om het afspelen te starten. Aan het einde van de plaat keert de arm automatisch terug naar zijn beginpositie. De speler is aangedreven met een snaar. Een kenmerkende functie is de ingebouwde Bluetooth-zender, waarmee je het geluid van je vinyl draadloos kunt doorsturen naar een Bluetooth-speaker, -soundbar of -hoofdtelefoon.

Mocht je de voorkeur geven aan een bekabelde opstelling, dan kan dat ook via de RCA-uitgang. De platenspeler heeft een ingebouwde phono-voorversterker. Dit maakt het mogelijk om de speler direct aan te sluiten op een versterker of actieve luidsprekers die geen speciale phono-ingang hebben. De aluminium draaischijf is ontworpen om trillingen te minimaliseren en een stabiele rotatie te waarborgen. De meegeleverde stofkap beschermt de plaat en de naald tegen stof.

Lenco L-3808

Bij de Lenco L-3808 heb je te maken met een direct aangedreven platenspeler, wat inhoudt dat de motor de draaischijf direct aandrijft zonder tussenkomst van een snaar. Dit zorgt voor een snelle start- en stoptijd. Een bijzondere eigenschap is de USB-aansluiting. Hiermee kun je de platenspeler verbinden met een computer om je vinylplaten te digitaliseren.

Verder beschikt dit model over een ingebouwde phono-voorversterker, die je naar wens kunt in- of uitschakelen. Hierdoor kun je hem aansluiten op een breed scala aan audiosystemen, zowel met als zonder specifieke phono-ingang. De arm is S-vormig en voorzien van een afneembare headshell, wat het wisselen van het element vereenvoudigt. De aanwezigheid van pitch control geeft je de mogelijkheid om de afspeelsnelheid handmatig fijn te stellen. Een doorzichtige stofkap houdt stof op afstand.

Audio-Technica AT-LP60XBT

De Audio-Technica AT-LP60XBT functioneert als een volautomatische, snaaraangedreven platenspeler. Het bedieningsgemak staat hierbij centraal: met knoppen voor start en stop kun je het afspeelproces eenvoudig beheren. De arm plaatst zichzelf op de groef en keert na afloop van de plaat vanzelf weer terug. Net als de Sony beschikt dit model over een geïntegreerde Bluetooth-functionaliteit. Dit maakt het mogelijk om draadloos verbinding te maken met maximaal acht verschillende Bluetooth-apparaten, zoals luidsprekers of een koptelefoon.

Voor een standaard opstelling is er een RCA-uitgang beschikbaar. De ingebouwde phono-voorversterker is uitschakelbaar, waardoor je de keuze hebt tussen aansluiting op een phono- of een lijningang van je versterker. De draaischijf is vervaardigd uit gegoten aluminium. Het meegeleverde element is een Dual Magnet-cartridge met een vervangbare naald. De stofkap is scharnierend en afneembaar.

Denon DP-29F

Dit model, de Denon DP-29F, is een snaaraangedreven en volautomatische platenspeler. Je bedient de speler met de start- en stopknoppen, waarna de toonarm automatisch naar het begin van de plaat beweegt en aan het einde weer terugkeert. Een belangrijk kenmerk is de ingebouwde, inschakelbare RIAA phono-equalizer. Dankzij deze voorversterker kun je de DP-29F direct aansluiten op een versterker of receiver via een standaard AUX- of lijningang, zonder dat een aparte phono-ingang nodig is.

De draaischijf is gemaakt van gegoten aluminium en de platenspeler wordt geleverd met een MM-element (Moving Magnet), zodat je na het aansluiten direct kunt beginnen met luisteren. Het geheel wordt beschermd door een stofkap die het mechanisme en je platen vrijhoudt van stof en vuil.

Lenco LBT-188

Ook deze Lencois uitgerust met een snaaraandrijving. Een opvallende functie van dit model is de ingebouwde Bluetooth-zender. Hiermee heb je de mogelijkheid om het geluid van je vinylplaten draadloos te streamen naar een compatibele Bluetooth-luidspreker of -hoofdtelefoon. Daarnaast is de platenspeler voorzien van een USB-aansluiting, waarmee je hem aan een computer kunt koppelen. Dit stelt je in staat om je platencollectie te digitaliseren.

De Lenco LBT-188 beschikt over een geïntegreerde phono-voorversterker, wat betekent dat je hem direct kunt aansluiten op de aux-ingang van vrijwel elke versterker of set actieve speakers. De toonarm is voorzien van een instelbaar contragewicht voor een nauwkeurige naalddruk. Het geheel wordt geleverd met een afneembare, doorzichtige stofkap die de draaitafel en de plaat beschermt.