Hackertool Metasploit looft exploit-premies uit

Het gaat hierbij niet om zomaar wat securitygaten. Metasploit heeft een specifieke lijst opgesteld van 30 gaten. De top 5 daarvan is elk 500 dollar waard. De overige 25 zijn 100 dollar per exploit waard. Dat steekt mogelijk wat schraal af tegen de bedragen die worden uitgeloofd door partijen als Google, Mozilla en HP's securitytak TippingPoint (organisator van hackwedstrijd Pwn2Own). Bovendien vragen die bedrijven daarvoor slechts de gaten, niet eens exploits.

Specifieke gaten

Het 'verlanglijstje' van het Metasploit Exploit Bounty Program bevat gaten in flink uiteenlopende softwarepakketten. Het bereik loopt van consumentenprogramma's zoals webbrowsers Firefox, Opera en Safari tot zakelijke serversoftware, securitypakketten en beheermiddelen voor enterprise-ict.

In de top vijf staan Google's webbrowser Chrome, IBM's groupware Lotus Notes, de directory server van IBM's Tivoli-pakket, de Windows-client voor internetadresboek DNS (Domain Name System), en de grafische Windows-api (application program interface) GDI+. Op de lijst staan verder nog gaten in JavaScript- en VBScript-engines (Visual Basic), in Firefox, in IBM's Tivoli-storageprogramma FastBack Server, in mailserver Imail van Ipswitch, en in de Oracle Application Server.

Regels en sluitingsdatum

Voor de exploits gelden enkele regels, voor zowel het indienen bij Metasploit als de werking ervan. Zo moet eventuele geheugenbeschermingsmaatregelen (zoals ASLR en DEP) worden omzeild als dat nodig is om het eigenlijke securitygat te misbruiken. Denial-of-service aanvallen tellen niet mee; een gat moet echt uitgebuit worden om eigen code uit te voeren op de doelcomputer.

De sluitingsdatum voor de inzending van werkende exploits is 20 juli. Dan worden de inzendingen voor het beloningsprogramma gekeurd, waarna de winnaars binnen 2 maanden hun premie krijgen. De beloning wordt uitgekeerd in de vorm van American Express-kadobonnen.