Je bent een white-hat hacker en hebt een zero-day gevonden in de software van een groot techbedrijf als Google of Facebook. Wat kun je daarvoor vragen? PCM duikt in verscheidene bugbounty-programma's.

Software is altijd lek. Het is een illusie dat je als bedrijf een besturingssysteem of programma kunt maken zonder gaten, maar hoe je daarmee omgaat is een andere vraag. Het is een probleem dat steeds dringender om een oplossing vraagt, maar een eenduidig antwoord is er niet.

Wat een zero-day is

Een gat in software dat door de fabrikant nog niet is ontdekt, heet een ‘zero-day’, iets dat ‘pas 0 dagen’ bekend is bij de softwareleverancier. Zero-days moeten zo snel mogelijk worden opgelost, want iedereen die de software gebruikt zonder een patch is potentieel kwetsbaar voor hackers. Daarbij draait het er echter wel om wie er allemaal weet van een lek, en wat daarmee gedaan wordt.

Inmiddels erkennen de meeste bedrijven wel dat hun software niet perfect is. In plaats van dat onder het tapijt te schuiven is het beter daar verantwoord mee om te gaan. Een aantal jaar geleden kwamen de eerste grote softwarebedrijven dan ook met bug-bountyprogramma’s, die inmiddels zo ingeburgerd zijn dat ieder serieus bedrijf er wel eentje heeft.

Bug bounty

Een bug bounty-programma is de openbare jacht naar lekken in software. In plaats van hopen dat niemand ze vindt, zetten veel bedrijven een eigen programma op om hackers aan te moedigen actief te gaan zoeken naar zwakke plekken in programma’s, websites of servers.

Menig bedrijf heeft nu hele divisies opgezet om datalekken te vinden

Op die manier worden hackers gestimuleerd zelf actief op zoek te gaan naar lekken en om daar op een verantwoordelijke manier mee om te gaan. Bij veel bedrijven gebeurt dat op de achtergrond. Het bug-bountybeleid zit ergens verstopt op de site, alleen te vinden voor wie er specifiek naar zoekt op Google.

Er zijn echter ook genoeg bedrijven te vinden die het anders doen. Neem Google, of Facebook. Die hebben namelijk hele divisies opgezet voor het vinden van datalekken. Facebook staat erom bekend cryptoparties te houden, feestelijke avonden waarin hackers bij elkaar komen om een avond lang firewalls door te breken, te pentesten en het systeem zoveel mogelijk kapot te maken. 

Verdienen aan zero-days

De ‘bounty’ in het programma verschilt van bedrijf tot bedrijf. Veel kleine bedrijven bieden bijvoorbeeld slechts een bedankje, een vermelding op de website met een uitleg van het lek en misschien een klein presentje zoals een powerbank of een usb-stick. 

Dat is voor veel ethische hackers ook genoeg. Whitehat-onderzoekers speuren naar zero-days voor de roem, niet voor het grote geld. Als zij dat willen verdienen, kunnen ze in dienst van bijvoorbeeld het Team High Tech Crime of bij multinationals als Shell veel sneller rijk worden. 

Deze praktijk verandert de laatste jaren echter wel, en dat levert inmiddels frictie op. Waarom zou je nog genoegen nemen met ‘erkenning’ als een miljardenbedrijf zoals Google, Facebook, of Apple beter wordt van jouw ontdekkingen? Steeds vaker vinden hackers dat een bedankje niet genoeg meer is.

Apple was het laatste bedrijf dat daarop insprong. Het programma bood gelijk één van de hoogste beloningen aan van alle bedrijven voor het melden van bugs. Onderzoekers kunnen tot wel 200.000 dollar verdienen met het programma – al zijn minder grote lekken een stuk minder waard.

Verschil in prijs

De prijs van een melding verschilt per bedrijf, maar ook per lek zelf. Daarbij wordt gekeken naar de ernst van het lek, wat je daarmee kunt doen, en hoeveel mensen er potentieel slachtoffer van worden. Ook de uitbetaling is vaak afhankelijk van hoe het lek wordt gepatcht - of juist niet.

Apple looft de hoogste beloning uit: 200.000 dollar

De kwartmiljoen dollar van Apple is bijvoorbeeld de hoogste prijs die het bedrijf betaalt voor een lek, maar dat is alleen voor een exploit waarmee je malafide applicaties kunt installeren. Vind je een lek waarmee je bijvoorbeeld ‘slechts’ malafide code kunt injecteren vanuit de kernel, dan krijg je 50,000 dollar.

De hoogte van de beloning heeft ook te maken met hoeveel mensen mogelijk geraakt worden door de bug. Zo is een lek in Windows meer waard dan een lek in macOS, en een exploit in Chrome meer dan een lek in Firefox. Je moet daarna ook kijken naar hoe makkelijk een lek is uit te buiten. Een lek in Flash is bijvoorbeeld makkelijker te vinden en daarom minder waard. Maar een lek in het zeer goed beveiligde iOS, daar zit wel veel geld in.

Bug bounty prijzen

Ter afronding en om een idee te geven over de bedragen waaraan je kunt denken bij enkele van de bekendste techfirma's, even een kort overzicht van de prijzen die gehanteerd worden.

De (dollar)prijzen verschillen in hoogte, afhankelijk van de ernst van het lek.

Adobe (Flash): 5000 - 30.000
macOS: 20.000 - 50.000
Android: 30.000 - 60.000
Word: 50.000 - 100.000
Windows: 60.000 - 120.000
Firefox: 60.000 - 150.000
Chrome: 80.000 - 200.000

Philips lanceert de Evnia 27M2N6501L, een 27-inch QD-OLED-monitor die hoogwaardige beeldkwaliteit combineert met een relatief scherpe prijs. Het model richt zich vooral op gamers en gebruikers die veel waarde hechten aan contrast, vloeiende actie en brede inzetbaarheid.

De monitor maakt gebruik van QD-OLED-technologie, die bekendstaat om diepe zwarttinten en hoge kleurprecisie. De QHD-resolutie levert een scherp beeld, terwijl HDR-ondersteuning en 10-bit kleurdiepte het scherm geschikt maken voor films, games en grafische software. Opvallend is dat Philips deze eigenschappen aanbiedt in een prijsklasse waar QD-OLED tot nu toe nauwelijks te vinden was.

Voor gamers biedt de 27M2N6501L een verversingssnelheid van 240 Hz, wat zorgt voor vloeiende animaties en minder haperingen bij snelle actie. De monitor is G-Sync compatible en heeft extra hulpmiddelen zoals Crosshair- en Sniper-functies en ShadowBoost, die details in donkere scènes beter zichtbaar maken. Ambiglow krijgt een AI-upgrade en past de lichtgloed achter het scherm automatisch aan op de content.

©PHILIPS | Copyright (c) 2021 Stock Unit/Shutterstock.

HDMI 2.1 maakt het mogelijk om consoles en pc's direct op maximale resolutie en snelheid te gebruiken. MultiView toont twee apparaten tegelijk, nuttig voor wie wil multitasken. Verder zijn er opties zoals LowBlue Mode en Flicker-Free, die vriendelijker zijn voor je ogen. Ook heeft deze monitor een volledig verstelbare standaard.

De Philips Evnia 27M2N6501L is direct verkrijgbaar voor een adviesprijs van 419 euro. Philips geeft drie jaar garantie op zijn OLED- en QD-OLED-schermen, inclusief burn-in-dekking.

©Philips

Tijdens Black Friday pakt Keukenloods uit met hoge kortingen op populaire inbouwapparatuur van merken als Siemens en Bosch. Wij lichten hier vijf modellen uit die nu extra interessant zijn: stuk voor stuk slimme keuzes voor wie zijn keuken wil vernieuwen of uitbreiden.

Partnerbijdrage - in samenwerking met Keukenloods

Siemens ED851BS16E – kookplaat met geïntegreerde afzuiging

De Siemens ED851BS16E combineert koken en afzuigen in één strak oppervlak. De vier inductiezones zijn flexibel inzetbaar dankzij de combiZone, waarmee je twee zones kunt samenvoegen tot één groter kookvlak. Met de powerBoost-functie breng je water extra snel aan de kook, en de quickStart- en reStart-functies zorgen dat de kookplaat direct reageert of je instellingen behoudt als je hem kort uitzet. De ingebouwde afzuiging verwijdert kookdampen direct bij de bron: je hebt dus geen aparte afzuigkap meer nodig.

Siemens EX875LVB1E – inductiekookplaat met flexzones

De Siemens EX875LVB1E is een ruime inductiekookplaat met vijf kookzones die tegelijk gebruikt kunnen worden. De flexInductie-zone herkent automatisch het formaat van de pan en past het verwarmingsoppervlak daarop aan. Dankzij de dual lightSlider-bediening stel je elke zone met een vloeiende beweging nauwkeurig in, van sudderen tot aanbraden. De powerBoost-functie verhoogt het vermogen tot wel 50 procent, zodat je in korte tijd grote hoeveelheden water of gerechten kunt verhitten. De kookplaat beschikt over zeventien vermogensstanden, een warmhoudfunctie en een overkookbeveiliging, wat koken preciezer én veiliger maakt.

Siemens CM724G1B2 – combi-oven met magnetronfunctie

De Siemens CM724G1B2 is een compacte combi-oven met een inhoud van 45 liter en vijftien verwarmingssystemen, waaronder hetelucht, circulatiegrill en onder- en bovenwarmte. Dankzij de combinatie van oven- en magnetronfuncties bereid je gerechten in minder tijd, zonder dat ze hun structuur of smaak verliezen. Via HomeConnect bedien je hem op afstand, en met de oven-assistent gebruik je spraakcommando's om bijvoorbeeld de voorverwarming te starten. Het TFT-touchdisplay biedt een helder overzicht van programma's en temperaturen, terwijl de soft-close-deur en ledverlichting hem nóg gebruiksvriendelijker maken.

Siemens SN63HX36TN – volledig geïntegreerde vaatwasser

De Siemens SN63HX36TN is een volledig geïntegreerde vaatwasser met ruimte voor twaalf couverts en een geluidsniveau van slechts 46 dB. Het apparaat beschikt over zes programma's en vier speciale functies, waaronder VarioSpeed Plus om sneller te wassen en HomeConnect voor bediening via wifi. Dankzij de MachineCare-functie blijft de binnenruimte schoon en fris, en met de Infolight zie je via een lichtprojectie op de vloer of het programma nog loopt. Het verstelbare bovenrek en de flexibele indeling zorgen dat ook grote pannen of glazen eenvoudig passen.

Bosch SMH4ECX28E – stille inbouwvaatwasser

De Bosch SMH4ECX28E valt op door zijn stille werking (42 dB) en energieklasse A. De vaatwasser biedt ruimte voor veertien couverts en beschikt over zes programma's en vijf functies, waaronder Extra Droog en SpeedPerfect+. De VarioLade bovenin biedt extra plek voor bestek en klein servies, terwijl het RackMatic-systeem het bovenrek in hoogte verstelbaar maakt. Met HomeConnect bedien je de machine via de app, en de doseerassistent zorgt dat afwasmiddel gelijkmatig wordt verdeeld voor een optimaal resultaat. De roestvrijstalen kuip en de automatische deuropening na afloop van het programma dragen bij aan een grondig en efficiënt droogresultaat.

Of je nu kiest voor een kookplaat met geïntegreerde afzuiging, een smarte combi-oven of een fluisterstille vaatwasser: tijdens Black Friday is het bij Keukenloods hét moment om te investeren in een moderne keuken! Op de speciale Keukenloods Black Friday-pagina vind je alle aanbiedingen!