Het is weer zover, de jaarlijkse traditie van Pwn2Own, het hacktoernooi van HP's securitydochter ZDI. Windows, Flash, browsers, ze vallen als rijpe vruchten en gaan allen stuk voor stuk voor het blok. Tonnen aan prijzengeld wordt er gewonnen.
Pwn2Own vormt een mooi ethisch tegenwicht tegen de zwarte markt voor bugs en zerodays. Maar het toernooi is voorbij zijn houdbaarheidsdatum. Waren er voorheen nog nauwelijks betaalde disclosure-programma's, tegenwoordig is er een keur aan mogelijkheden. Veel grote softwarebedrijven hebben hun eigen programma's, of anders kunnen hackers terecht bij disclosureplatforms als HackerOne of BugCrowd.
Toegegeven, daar zijn de beloningen in de regel een stuk minder riant, maar zij geven wel het lichtend voorbeeld van responsible disclosure. Rondom Pwn2Own hangt vaak een zweem van partijdigheid en controverse.
Oppotten is niet ethisch
Maar dat is niet het belangrijkste bezwaar. Omdat het toernooi maar eens per jaar gehouden wordt, leidt dit tot maandenlang oppotten van bugs en 0-days. Met alle risico's van dien. De hack kan uitlekken en bovendien bestaat de kans dat het gat door iemand anders ook ontdekt wordt. Of, en die kans is nog veel groter, het gat is al eerder ontdekt maar geheim gehouden. Om te gelde te maken op de dubieuze markt van 0-days met geheime diensten of cybercriminelen als opkopers.
Hierdoor blijft disclosure maanden achterwege, op maar te zwijgen van een patch of oplossing. Eindgebruikers lopen zo langer het risico door de bug gebeten te worden. Pwn2Own wil de whitehat-versie zijn van de blackhat-markt, maar het resultaat is een greyhat-moeras.
Responsible disclosure impliceert het prompt melden van bugs, en dat is wat wedstrijden als Pwn2Own juist voorkomen. Ze bieden hackervermaak en een jaarlijkse jackpot, maar voor een hoge prijs voor de eindgebruiker. HP kan beter het voorbeeld van Google volgen, dat recentelijk aankondigde zijn eigen Chrome-hacktoernooi, Pwnium, permanent te maken en geen periodiek evenement. En daarmee wordt het feitelijk onderdeel van het reguliere responsible disclosure programma van Google.
Wel of geen ultimatum?
Voor de whitehat valt er tegenwoordig genoeg geld en eer te behalen zonder jaarlijks toernooi. Met als nastrevenswaardig effect dat bugs en 0-days wel zo snel mogelijk worden gemeld. En zo snel mogelijk gefixt. Om dat laatste af te dwingen is een duidelijke deadline een goede zaak. Of toch niet? Dat is een andere discussie.
Day One results:
3 bugs in Adobe Reader
3 bugs in Adobe Flash
3 bugs in the Windows operating system
2 bugs in Internet Explorer 11
2 bugs in Mozilla Firefox
$317,500 USD bounty paid out to researchers
Day Two results:
5 bugs in the Windows operating system
4 bugs in Internet Explorer 11
3 bugs in Mozilla Firefox
3 bugs in Adobe Reader
3 bugs in Adobe Flash
2 bugs in Apple Safari
1 bug in Google Chrome
$557,500 USD bounty paid out to researchers
Na continuous development, moet er ook continuous testing komen... en dus ook continu presentatie van test resultaten en bevindingen.
"Waarom hacktoernooi Pwn2Own moet stoppen"
"Waarom het oppotten van 0-days moet stoppen"
FTFY
Reageer
Preview