Je bent een white-hat hacker en hebt een zero-day gevonden in de software van een groot techbedrijf als Google of Facebook. Wat kun je daarvoor vragen? PCM duikt in verscheidene bugbounty-programma's.

Software is altijd lek. Het is een illusie dat je als bedrijf een besturingssysteem of programma kunt maken zonder gaten, maar hoe je daarmee omgaat is een andere vraag. Het is een probleem dat steeds dringender om een oplossing vraagt, maar een eenduidig antwoord is er niet.

Wat een zero-day is

Een gat in software dat door de fabrikant nog niet is ontdekt, heet een ‘zero-day’, iets dat ‘pas 0 dagen’ bekend is bij de softwareleverancier. Zero-days moeten zo snel mogelijk worden opgelost, want iedereen die de software gebruikt zonder een patch is potentieel kwetsbaar voor hackers. Daarbij draait het er echter wel om wie er allemaal weet van een lek, en wat daarmee gedaan wordt.

Inmiddels erkennen de meeste bedrijven wel dat hun software niet perfect is. In plaats van dat onder het tapijt te schuiven is het beter daar verantwoord mee om te gaan. Een aantal jaar geleden kwamen de eerste grote softwarebedrijven dan ook met bug-bountyprogramma’s, die inmiddels zo ingeburgerd zijn dat ieder serieus bedrijf er wel eentje heeft.

Bug bounty

Een bug bounty-programma is de openbare jacht naar lekken in software. In plaats van hopen dat niemand ze vindt, zetten veel bedrijven een eigen programma op om hackers aan te moedigen actief te gaan zoeken naar zwakke plekken in programma’s, websites of servers.

Menig bedrijf heeft nu hele divisies opgezet om datalekken te vinden

Op die manier worden hackers gestimuleerd zelf actief op zoek te gaan naar lekken en om daar op een verantwoordelijke manier mee om te gaan. Bij veel bedrijven gebeurt dat op de achtergrond. Het bug-bountybeleid zit ergens verstopt op de site, alleen te vinden voor wie er specifiek naar zoekt op Google.

Er zijn echter ook genoeg bedrijven te vinden die het anders doen. Neem Google, of Facebook. Die hebben namelijk hele divisies opgezet voor het vinden van datalekken. Facebook staat erom bekend cryptoparties te houden, feestelijke avonden waarin hackers bij elkaar komen om een avond lang firewalls door te breken, te pentesten en het systeem zoveel mogelijk kapot te maken. 

Verdienen aan zero-days

De ‘bounty’ in het programma verschilt van bedrijf tot bedrijf. Veel kleine bedrijven bieden bijvoorbeeld slechts een bedankje, een vermelding op de website met een uitleg van het lek en misschien een klein presentje zoals een powerbank of een usb-stick. 

Dat is voor veel ethische hackers ook genoeg. Whitehat-onderzoekers speuren naar zero-days voor de roem, niet voor het grote geld. Als zij dat willen verdienen, kunnen ze in dienst van bijvoorbeeld het Team High Tech Crime of bij multinationals als Shell veel sneller rijk worden. 

Deze praktijk verandert de laatste jaren echter wel, en dat levert inmiddels frictie op. Waarom zou je nog genoegen nemen met ‘erkenning’ als een miljardenbedrijf zoals Google, Facebook, of Apple beter wordt van jouw ontdekkingen? Steeds vaker vinden hackers dat een bedankje niet genoeg meer is.

Apple was het laatste bedrijf dat daarop insprong. Het programma bood gelijk één van de hoogste beloningen aan van alle bedrijven voor het melden van bugs. Onderzoekers kunnen tot wel 200.000 dollar verdienen met het programma – al zijn minder grote lekken een stuk minder waard.

Verschil in prijs

De prijs van een melding verschilt per bedrijf, maar ook per lek zelf. Daarbij wordt gekeken naar de ernst van het lek, wat je daarmee kunt doen, en hoeveel mensen er potentieel slachtoffer van worden. Ook de uitbetaling is vaak afhankelijk van hoe het lek wordt gepatcht - of juist niet.

Apple looft de hoogste beloning uit: 200.000 dollar

De kwartmiljoen dollar van Apple is bijvoorbeeld de hoogste prijs die het bedrijf betaalt voor een lek, maar dat is alleen voor een exploit waarmee je malafide applicaties kunt installeren. Vind je een lek waarmee je bijvoorbeeld ‘slechts’ malafide code kunt injecteren vanuit de kernel, dan krijg je 50,000 dollar.

De hoogte van de beloning heeft ook te maken met hoeveel mensen mogelijk geraakt worden door de bug. Zo is een lek in Windows meer waard dan een lek in macOS, en een exploit in Chrome meer dan een lek in Firefox. Je moet daarna ook kijken naar hoe makkelijk een lek is uit te buiten. Een lek in Flash is bijvoorbeeld makkelijker te vinden en daarom minder waard. Maar een lek in het zeer goed beveiligde iOS, daar zit wel veel geld in.

Bug bounty prijzen

Ter afronding en om een idee te geven over de bedragen waaraan je kunt denken bij enkele van de bekendste techfirma's, even een kort overzicht van de prijzen die gehanteerd worden.

De (dollar)prijzen verschillen in hoogte, afhankelijk van de ernst van het lek.

Adobe (Flash): 5000 - 30.000
macOS: 20.000 - 50.000
Android: 30.000 - 60.000
Word: 50.000 - 100.000
Windows: 60.000 - 120.000
Firefox: 60.000 - 150.000
Chrome: 80.000 - 200.000

Op zoek naar een lekkere Black Friday-deal die je écht dagelijks gaat gebruiken? Wehkamp zet dit jaar een reeks verzorgings- en stylingtools extra scherp in de spotlights. Denk aan krachtig föhnen, glad ontharen, strak trimmen en schoner poetsen met topmerken als Philips, Braun en Oral-B. Dit is het ideale moment om te upgraden!

Partnerbijdrage - in samenwerking met Wehkamp

Black Friday is het moment waarop je zonder schuldgevoel iets mag upgraden. Vinden wij. Niet alleen omdat de kortingen lekker zijn, maar vooral omdat je dan eens kunt kiezen voor apparaten die je dagelijkse verzorging écht makkelijker maken. Bij Wehkamp vind je dit jaar allerlei spulletjes voor in de badkamer die meer doen dan alleen 'handig zijn': ze helpen je dagelijks om er weer piekfijn uit te zien! Van scheerapparaten en föhns tot epilators en elektrische tandenborstels: deze zeven Black Friday-aanraders verdienen een plek in je badkamer.

©Philips

Eén scheertool voor alles: Philips OneBlade Pro 360 Face & Body

De Philips OneBlade Pro 360 is zo'n apparaat waarvan je je afvraagt hoe je ooit zonder hebt gekund. Hij trimt, scheert en stylet je gezicht én je lichaam zonder gedoe. De 360-blade beweegt soepeltjes mee en met de verstelbare kam stel je gemakkelijk de lengte in die je wilt. Deze gadget maakt je ochtendritueel net effe een tikkie sneller en relaxter, en tijdens Black Friday is-ie opeens wel heel aantrekkelijk geprijsd.

Check de deal hier!

©Philips

Professioneel drogen met bescherming: Philips Haardroger 8000 Series

Als je je haar regelmatig goed en uitgebreid föhnt, weet je dat het verschil vooral in de techniek zit. De Philips 8000 Series levert een krachtige luchtstroom, maar houdt dankzij slimme warmtesensoren tegelijkertijd je haar in de gaten. Zo droog je sneller zonder je lokken te oververhitten. Ideaal voor drukke ochtenden, maar ook voor wie simpelweg mooi en gezond haar wil. En tijdens Black Friday betaal je voor deze professionele kwaliteit een stuk minder.

Check de deal hier!

©Babyliss

Direct volume met minimale moeite: BaByliss Big Hair Dual

De BaByliss Big Hair Dual voelt al bij het eerste gebruik aan alsof hij voor jou is gemaakt. Dankzij twee roterende borstels en gelijkmatige warmte krijg je in één beweging meer volume en een mooie slag in je haar. Het resultaat is dat typische 'ik kom net bij de kapper vandaan'-gevoel, maar dan zonder dat je de deur uit hoeft. Tijdens Black Friday is dit een van die apparaten die je koopt, gebruikt en daarna nooit meer kwijt wilt.

Check de deal hier!

©Remington

Glanzend stijlhaar zonder gedoe: Remington Shine Therapy

Wie liever een stijltang gebruikt, vindt in de Remington Shine Therapy een echte Black Friday-meevaller. De keramische platen met verzorgende technologie zorgen voor zichtbaar meer glans, terwijl je door de instelbare temperatuur precies afstemt op jouw haartype. Het apparaat is snel warm, breed genoeg voor efficiënt steilen en zacht genoeg voor dagelijks gebruik. Een betaalbare kwaliteitsstap die nu nóg aantrekkelijker is.

Check de deal hier!

©Braun

Strakke details: Braun Gezichtsontharing FS1000

Soms zit verbetering in een klein apparaatje. De Braun FS1000 verwijdert gezichtshaartjes snel en verrassend precies, geholpen door een subtiele 'smartlight' die zelfs de fijnste haartjes zichtbaar maakt. Perfect als je make-up mooier wil laten zitten of gewoon een gladde, verzorgde look prettig vindt. Een kleine aankoop die een groot effect heeft, zeker met de Black Friday-prijs.

Check de deal hier!

©Braun

Langdurig glad: Braun Silk-épil 7

Voor wie liever minder vaak bezig is met ontharen, biedt de Braun Silk-épil 7 een langdurige oplossing. Deze epilator verwijdert haartjes bij de wortel, waardoor je wekenlang een gladde huid behoudt. Het apparaat ligt prettig in de hand en doet zijn werk effectief, ook onder de douche. Black Friday is hét moment om deze handige oplossing met stevige korting in huis te halen.

Check de deal hier!

©Oral-B

Elke dag een mooiere glimlach: Oral-B iO Series 6

Mondverzorging lijkt misschien niet het spannendste onderdeel van Black Friday, maar de Oral-B iO Series 6 bewijst dat een upgrade van je tandenborstel veel verschil kan maken. Met microvibraties, een slimme druksensor en meerdere poetsstanden zorgt deze tandenborstel voor een schoner gevoel dan ooit tevoren. Een investering in dagelijkse frisheid dus, en dankzij Black Friday gewoon een logische keuze.

Check de deal hier!

Black Friday bij Wehkamp = een investering in jezelf

Of je nu sneller klaar wilt zijn in de badkamer, je haar net wat mooier wilt stylen of je mondverzorging serieus wilt aanpakken, tijdens Black Friday bij Wehkamp is het wel heel aantrekkelijk om voor goede kwaliteit te gaan. De deals zijn tijdelijk, de producten staan snel bij je thuis en je merkt het effect meteen in je dagelijkse routine. Hét moment dus om jezelf (of iemand anders natuurlijk!) iets te gunnen waar je nog lang plezier van hebt.

Pelgrim brengt drie nieuwe inductiekookplaten uit die automatisch herkennen waar een pan staat en instellingen meenemen wanneer je die verplaatst. Bovendien gebruikt de IK4-serie een eigen inductietechniek die stiller en gelijkmatiger werkt dan eerdere modellen.

De kookplaten in de IK4-serie hebben een aparte slidebediening per zone, waarmee je de temperatuur in één beweging instelt. Door pandetectie wordt een pan direct herkend en schakelt de juiste zone in. Verplaats je de pan, dan neemt de kookplaat de ingestelde stand automatisch over op de nieuwe positie. Speciale programma's zoals de Smelt-, Warmhoud- of Aankook-functie (een opwarmfunctie waarmee je iets snel aan de kook kunt brengen)  helpen bij veelvoorkomende bereidingen. De in eigen huis ontwikkelde techniek levert een constant vermogen, waardoor de temperatuur stabiel blijft en het typische aan-uitpendelen uitblijft. Daardoor kun je veel preciezer koken.

©Pelgrim

De serie is uitgevoerd in kras- en stootvast keramisch glas met een facetrand. De kookzones zijn subtiel gemarkeerd en flexzones bieden ruimte voor pannen van verschillende formaten. Via de ConnectLife-app kun je instellingen aanpassen, timers instellen en recepten raadplegen. Ook onderhoudstips en updates zijn beschikbaar in de app.

Het 60-cm-model IK4064F biedt vier zones, waaronder een grote zone van 23 centimeter, plus boostfuncties, timers en een pauzestand. De 70 centimeter brede IK4072F heeft vier flexibele zones die je kunt combineren tot een groter kookoppervlak. De IK4083F (80 cm) heeft twee ruime flexzones en twee ronde zones voor wie veel plaats nodig heeft. Alle drie hebben per zone een sliderbediening, pandetectie en dezelfde automatische programma’s. De modellen passen in een standaard nismaat.

©Pelgrim