Het kan zinvol zijn om eerst de vorige blog te lezen.

Toen Peters team kort geleden een gesprek had over wanneer iedereen genoeg geld heeft om niet meer te hoeven werken of als alle veiligheidsgaten in software waren gedicht of zoiets dergelijks, in ieder geval iets bijna utopisch, noemde de een dat hij een geweldige auto zou kopen. De ander zou de ganse dag computerspelletjes gaan spelen. En de nieuwste collega van Peter, Brandon uit New York, die wist wel wat Peter wilde: Wereldvrede.
Ja, dat is ongeveer hoe Peter bekent staat bij zijn team: rustig, alle partijen samenbrengend, de boel kunnen overzien en op zoek naar wereldvrede dus.
Hmm, en dat terwijl ze toch een heel aantal uren per week gezamenlijk oorlog voeren en de wereld veroveren met elkaar. En dan doet Peter niet onder voor zijn collega’s. Maar tja, dat is online, op een computer, dat is niet echt…
Toch?

Toch zijn er ook heel wat dingen online, op een computer, die echt genoeg zijn om je dagelijks mee bezig te houden, om veel geld in om te laten gaan, om conferenties voor te organiseren en om veel media aandacht aan te geven.
Juist omdat het zo echt is en er veel mensen mee werken, is het van belang dat het zo veilig mogelijk is. En dat is dus waar ZDI (Peters team) zich mee bezig houdt.

ZDI, is een onderdeel van Tippingpoint. Tippingpoint is in 2010 gekocht door HP, maar opereert redelijk los van hen. Tippingpoint is naast de naam van het bedrijf, ook de naam van het product wat zij uitgeven. Namelijk een systeem dat bedrijven (en hun netwerk) beveiligd tegen misbruik van beveiligingsgaten in software. Dit doen ze door gaten die bekend zijn te filteren en de aangesloten computers van de bedrijven regelmatig te updaten als er nieuwe patches zijn uitgegeven.

Een deel van Peters dagelijkse werk is om vulnerabilities en exploits die mensen insturen te verifiëren: wordt er door gebruik te maken van deze code echt misbruikt gemaakt van de zwakheid in de software? Zo ja, dan wordt er een bod gedaan aan de vinder van de bug. Neemt deze het bod aan dat wordt daarmee de kennis en de technische gegevens van dit gat gekocht van de vinder. -Dit was de manier waarop Peter zijn geld verdiende toen we nog in Nederland woonden.- Heeft ZDI de kennis over deze vulnerability (en de bijbehorende exploit) gekocht, dan schrijven ze er een verslag over en gaat het naar het ‘filterteam’, ander onderdeel van Tippingpoint. Zij zorgen dat de klanten van Tippingpoint, dus de bedrijven die hun product gekocht hebben, beveiligd worden tegen eventuele aanvallen op het stuk software waar dit gat in zit. Daarna gaat de info ook naar de vendor, zodat deze het gat daadwerkelijk kan gaan dichten en een patch uit kan schrijven. De vendor krijgt de info over het bestaande gat overigens gratis. En ja, dit businessmodel werkt. Geen idee hoe*, maar het werkt. Voor de softwarefabrikanten is dit soort informatie natuurlijk geweldig, ze kunnen hiermee hun product verbeteren en optimaliseren. En vooral: beter beveiligen.

Nu is er elk jaar de conferentie CanSecWest. Op deze conferentie komen, volgens hun website, de ‘hemellichten’ van de internet security wereld bij elkaar. Tijdens de conferentie wordt de wedstrijd Pwn2Own gehouden. Dit wordt georganiseerd door ZDI, als een PR-actie. Security researchers kunnen hier hun gevonden en nog niet bekende gaten showen en daar staat een prijs tegenover. De vendors staan er -letterlijk- met hun neus boven op, benieuwd als ze zijn na de beveiligingsdichtheid van hun product.
Vorig jaar kwam Google met een ge-update versie van de browser Google Chrome, vlak voor de conferentie. En Google doneerde ook een bak geld als prijzengeld, mocht iemand Chrome hacken. Dit gebeurde toen overigens niet. Wat niet betekent dat er geen gaten inzitten, wat wel eens, onterecht, werd gesuggereerd door de media.
Ook dit jaar zou Google weer een deel sponsoren. Maar toen er nogmaals over het spelreglement werd gesproken struikelden ze over een al bestaande regel. Zoals Aaron in hun uitleg, op de ZDI site, over deze situatie schreef “here was where things got a bit muddled”. Toch ga ik een poging doen het uit te leggen voor leken zoals ik zelf.

Er zijn twee soorten vulnerabilities waarmee je browsers kunt beïnvloeden. De code execution en de sandbox-escape.  Naast een technisch verschil is er ook een verschil in economische waarde. De eerste soort is degene waar ZDI geld voor geeft. Zonder deze heb je niets aan de tweede soort.
De tweede is behoorlijk wat meer geld waard dan de eerste. Eerst en vooral omdat ze zeldzaam zijn.
ZDI heeft als doel met  de wedstrijd om zoveel mogelijk code execution vulnerabilities te verzamelen, zodat deze gefixed kunnen worden, voor een veiliger internetgebruik.
Op het moment dat de deelnemers ook hun kennis van de sandbox-escape moeten vrijgeven moet er dus ook meer prijzengeld beschikbaar zijn, om de waarde ervan te vergoeden. Zolang dit er niet is, betoogd Aaron, zal er geen enkele deelnemer zo gek zijn om beide vulnerabilities bekend te maken. Daarom verlangt ZDI dit niet. Wel moet de deelnemer bewijzen dat hij/zij door de sandbox heen kan breken, om aan te tonen dat er ook daadwerkelijk misbruik gemaakt kan worden van de zwakheden in het programma. Maar de codes mag de hacker voor zichzelf houden.
Google struikelde over deze regel. Trok zich enkele weken geleden terug. En ‘on top of that’ deelden ze via de media vrolijk mee dat ze een eigen wedstrijd hielden tijdens CanSecWest, 2012. De wedstrijd met de naam Pwnium. Hmm, klinkt bekend… Ow wacht, Pwn2own.
Na wat beraad is (en wat flauwe acties zoals het registeren van Twitteraccounts als Pwnium en Pwnium2012 door ZDI) is besloten dat ook Pwn2Own gewoon door zou gaan. Aaron plaatste een duidelijke blog op de ZDI site waarin hun kant van het verhaal werd uitgelegd. En al gauw sprak een groot deel van de White hats in het voordeel van ZDI.

Op dag één van de beide wedstrijden is Google Chrome twee keer gehackt, één keer in de Pwnium wedstrijd en één keer, door een andere persoon, bij Pwn2Own. Google heeft z’n doel behaald: ze kunnen hun product verbeteren én hebben kennis van de code die hun sandbox doorbreekt.
Ook Internet Explorer en Firefox zijn er aangegaan bij Pwn2Own. Werk voor de vendor. Voor ons is het nu wachten tot er nieuwe patches worden uitgegeven. (Ooit heeft het meer dan twee jaar gekost voor een, door Peter gevonden vulnerability, werd gepatcht.) Tot die tijd denk ik dat we op het product Tippingpoint moeten vertrouwen of gewoon wat minder veilig internetten…