Bedrijf gaat patentaanvragen voor security fixes verzorgen
Een nieuwe inkomstenbron voor security onderzoekers biedt zich aan. Het bedrijf Intellectual Weapons kan voor onderzoekers een patent aanvragen op een mogelijke security fix die ze ontdekken. Voor onderzoekers een waarschijnlijk lucratievere optie dan het verkopen van vulnerabilities aan de hoogst biedende partij, omdat een patent altijd van waarde blijft. IW geeft wel aan dat men zoekt naar fixes die innovatief zijn. (The Register).
A security researcher approaches us with a security
vulnerability known only to them. The researcher must not be
the vendor or owner of any of the software containing the
vulnerability and must not have obtained knowledge of the
information by illegal means. The researcher must not pass
to us at any stage any information unlawfully obtained, for
example by, knowingly accessing a computer, computer
network, or computer system without the owner's consent.
1) Software owners en vendors zullen zelf ook deze weg gaan
bewandelen, immers het publiceren over een bepaalde lek is
een schending van hun patent en zo kunnen zij ook geld
verdienen.
2) Patenten op lekken zullen afgekocht moeten worden, immers
je kunt geen patch bouwen voor een lek waar je niet het IPO
van hebt.
Sneaky idee, indien het aanslaat zal het zeker de grote
ondernemers onderdruk zetten om hen patent strategie aan te
passen.
Aan de andere kant ben je als patent eigenaar wel de sigaar
indien een Microsoft vind dat jij hun software onrechtmatig
hebt gebruikt, immers de meeste bugs bevatten een
onrechtmatige handeling tegen de software.
Kan ik daar dan ook geld mee verdienen? Of wordt er bedoeld als ze een
vulnerability ontdekken dat ze dit dan kunnen patenteren?
Klinkt als geldklopperij wat niets met het daadwerkeiijk willen beveiligen
van een product te maken heeft. Het zou goed zijn als alle security
onderzoekers hier niet in mee gaan.
kunt aanvragen. Dit zal een leuke ontwikkeling worden in de VS.
security fixes. Die gasten moeten ze meteen uitroeien. Wat
is er nu speciaal aan een bepaalde security fix, daar is
helemaal niets speciaals aan.
Ik vind het complete onzin.
rond het probleem brouwen zodat het lek niet misbruikt kan
worden ipv effectief de fout uit de code te gaan halen zodat
het lek niet meer aanwezig is.
Jaja.. Wat een zieke manier van leven heb je dan, patent op
security fixes. Die gasten moeten ze meteen uitroeien. Wat
is er nu speciaal aan een bepaalde security fix, daar is
helemaal niets speciaals aan.
Ik vind het complete onzin.
Het patent gaat over de 0days en niet over de security fix.
Een 0day exploit kan meestal gezien worden als een
verzameling van wiskundige algoritmes die uniek is en alleen
voor een bepaalde doel gebruikt kan worden, aangezien het
uniek is kan je er dus een patent op krijgen. (vandaar dat
veel coders in Europa tegen software patenten zijn).
Echter om een fix te maken moet je eerst betalen om de bug
te mogen gebruiken/onderzoeken. Wat veel meer waarborgen
geeft voor een security onderzoeker.
Verder deel ik je mening niet dat een bug of een fix niets
bijzonders is.
sommige bugs hebben dusdanige technische impact dat ze na
jaren nog niet opgelost zijn omdat ze soms inherent zijn aan
de werking van een stuk software/methodiek.
Zo zijn er in window en IEX nog tientallen bugs die al jaren
bekend zijn.
Security fixes worden gepatenteerd in de toekomst?
Mag ik even ontploffen?
* splash *
Maar nu even serieus, uit dit bericht maak ik op dat patches
voor beveiligingsgaten in de toekomst gaan worden
gepatenteerd en gaat dat dan ook voor BSD en GNU/Linux
systemen gelden, of heb ik dit bericht verkeerd begrepen (I
hope so!)
Help!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
