Het betalen van hackers voor het rapporteren van beveiligingslekken is essentieel om zowel software als gebruikers te beschermen, aldus browserontwikkelaar Mozilla. Het bedrijf beloont beveiligingsonderzoekers sinds 2004 voor gevonden bugs. Ook andere partijen als Google geven hackers een financiële vergoeding. "We kopen niet het stilzwijgen van een onderzoeker, we geven een beloning voor constructief beveiligingsonderzoek," zegt Lucas Adamski van Mozilla.
Hij merkt op dat onderzoekers hun bugs en exploits via ondergrondse markten kunnen verkopen. Daar worden onderzoekers betaald zolang hun lek onopgemerkt blijft, wat de kans verkleint dat een leverancier het lek ook ontdekt en kan oplossen. Daarnaast betalen deze ondergrondse markten voor volledig werkende exploits, wat vaak meer werk is dan het vinden van alleen een lek.
Essentieel
Volgens Adamski hebben deze ontwikkelingen gevolgen voor softwareontwikkelaars. "Je kunt niet langer verwachten dat een zero-day wordt verzilverd via rootkits die over het internet worden verspreid, wat de leverancier op het probleem wijst en een oplossing mogelijk maakt. Alles wordt gedaan om deze bugs zolang als mogelijk te verbergen, wat betekent dat een snelle respons niet langer meer een adequate primaire strategie is."
Adamski vindt dat leveranciers allerlei middelen moeten inzetten om problemen proactief te vinden en op te lossen. "En niet met het patchen van bugs wachten in de valse veronderstelling dat niemand anders ze zal ontdekken." Een beloningsprogramma is volgens Adamski een essentieel onderdeel van die strategie bij Mozilla, omdat het de kans op het vinden van een lek vergroot.
Deze posting is gelocked. Reageren is niet meer mogelijk.