Mozilla heeft de beloning die hackers krijgen voor het melden van lekken flink verhoogd, zo liet browserbouwer tijdens Hack in the Box Amsterdam weten. Toen het zes jaar geleden met het beloningsprogramma begon, kregen onderzoekers vijf honderd dollar. Dat is nu 3.000 dollar (2.400 euro) geworden. Sinds 2004 hebben in totaal 80 onderzoekers aan het beloningsprogramma meegedaan, wat 110 kwetsbaarheden opleverde.
Volgens Mozilla's Chris Hoffman, directeur engineering en Speciale Projecten, is de huidige economie van het vinden en verhelpen van beveiligingslekken stuk. Hij wijst daarbij naar de bekende hacker Charlie Miller, die geen gratis bugs meer weggeeft. "Maar bugs zijn voor niemand gratis", merkt Hoffman op. De zwarte markt betaalt voor lekken, gebruikers betalen via een geïnfecteerde computer en de leverancier in kwestie betaalt voor testing en via reputatieschade. De Mozilla topman vindt dat alle bedrijven een beloningsprogramma moeten hanteren.
Wilde Westen
Het melden en repareren van lekken is een lastig proces en moest volgens Mozilla gestroomlijnder. "Er moet een marktplaats voor onderzoekers komen", aldus Hoffman. "We bevinden ons nu in het Wilde Westen, een gevaarlijke plek om in te leven. In plaats van wapens zijn er exploits en iedereen schiet ermee." De hogere beloning moet eraan bijdragen dat onderzoekers sneller naar Mozilla met hun lekken komen.
Hoffman erkent dat sommige partijen 5.000, 10.000 of zelfs 100.000 dollar voor een lek betalen. In die gevallen moet een onderzoeker ook een werkende exploit ontwikkelen, waar veel tijd in gaat zitten. Mozilla stelt lagere eisen, waardoor het bugs eerder ontvangt en kan patchen. Tevens is het niet alleen geïnteresseerd in remote code execution kwetsbaarheden, maar ook lekken die toegang tot persoonlijke informatie geven, zoals creditcardgegevens.
Ontwikkeling
Zelf probeert Mozilla de browser en gebruikers ook veilig te houden. Dat doet het onder andere door betaald personeel met vrijwilligers te combineren. Hofmann maakt duidelijk dat bij Mozilla de gebruikers op de eerste plek staan. "Wij denken aan gebruikers, niet aan aandeelhouders." Daarmee wijst hij naar de andere browserbouwers.
Verder is de softwareontwikkelaar zeer te spreken over het update-mechanisme van Firefox, waardoor 90% van de gebruikers binnen twee weken na het uitbrengen van een update over de laatste versie beschikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.