Veilen van security lekken leidt tot betere security
De aanbieder van een security lek in Excel heeft voor de tweede keer geprobeerd om op eBay z'n waar te verkopen. Eindigde de eerste veiling op een teleurstellende 60 dollar voordat die door eBay verwijderd werd, nu stond de teller op 1200 dollar voordat de veilinggigant er een einde aan maakte.
"Het idee was om een marktwaarde voor een belangrijk lek te bepalen, en te zien wie er geinteresseerd is om dit soort informatie te bemachtigen" aldus de aanbieder.
Beide veilingen hebben echter de interesse van security onderzoekers gewekt, over wat voor invloed de verkoop van security lekken via de vrije markt op de veiligheid van software zou hebben. Hoewel sommige bedrijven zoals iDefense en 3Com security lekken kopen van onderzoekers, is dit nog altijd een controversieel onderwerp binnen de security gemeenschap.
Softwareaanbieders zijn niet te spreken over deze praktijken, en willen liever eerst zelf op de hoogte worden gesteld. Toch kan een marktsysteem waarbij onderzoekers bevestigde lekken verkopen de veiligheid van software ten goede komen, zegt Greg Hoglund, CEO van HB Gary. Het zou ervoor zorgen dat Microsoft en andere bedrijven meer geld aan security uitgeven.
"Als de bad guys dit soort informatie aanbieden en andere bad guys kopen het, dan zal dat het bewustzijn van Microsoft en wie dan ook verhogen. De druk op de aanbieder zal toenemen om nog meer aan software security te doen" gaat Hoglund verder.
is. Alles wat ze forceert om te patchen wordt het misschien niet beter op.
Dan worden mogelijk NOG meer shortcuts gemaakt met beveiliging en
programmeerwerk om maar snel een patch uit te brengen.
verantwoordelijkheid van de klanten, de enige
verantwoordelijkheid die nog genomen moet worden door
anderen is het op de hoogte stellen van (potentiele) kopers
van Microsoft producten over de risico's van het gebruiken
van producten van dit bedrijf. Deze verantwoordelijkheid zou
in mijn ogen bij de media moeten liggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
