Mozilla: Hackers belonen is noodzaak
Het betalen van hackers voor het rapporteren van beveiligingslekken is essentieel om zowel software als gebruikers te beschermen, aldus browserontwikkelaar Mozilla. Het bedrijf beloont beveiligingsonderzoekers sinds 2004 voor gevonden bugs. Ook andere partijen als Google geven hackers een financiële vergoeding. "We kopen niet het stilzwijgen van een onderzoeker, we geven een beloning voor constructief beveiligingsonderzoek," zegt Lucas Adamski van Mozilla.
Hij merkt op dat onderzoekers hun bugs en exploits via ondergrondse markten kunnen verkopen. Daar worden onderzoekers betaald zolang hun lek onopgemerkt blijft, wat de kans verkleint dat een leverancier het lek ook ontdekt en kan oplossen. Daarnaast betalen deze ondergrondse markten voor volledig werkende exploits, wat vaak meer werk is dan het vinden van alleen een lek.
Essentieel
Volgens Adamski hebben deze ontwikkelingen gevolgen voor softwareontwikkelaars. "Je kunt niet langer verwachten dat een zero-day wordt verzilverd via rootkits die over het internet worden verspreid, wat de leverancier op het probleem wijst en een oplossing mogelijk maakt. Alles wordt gedaan om deze bugs zolang als mogelijk te verbergen, wat betekent dat een snelle respons niet langer meer een adequate primaire strategie is."
Adamski vindt dat leveranciers allerlei middelen moeten inzetten om problemen proactief te vinden en op te lossen. "En niet met het patchen van bugs wachten in de valse veronderstelling dat niemand anders ze zal ontdekken." Een beloningsprogramma is volgens Adamski een essentieel onderdeel van die strategie bij Mozilla, omdat het de kans op het vinden van een lek vergroot.
Zeker op een forum dat rond security draait zijn zo'n statements nogal frapant en irritant imho ....
Overigens toont de hoeveelheid bedrijven die deze strategie hebben overgenomen genoeg aan hoe goed dit werkt.
Keep it up Mozilla !
Het is een andere strategie. Microsoft heeft onderzoekers in dienst of huurt ze in, om dit te doen. Ik snap wel dat je er dan niet zo happig op bent om diezelfde mensen per lek te betalen als ze hetzelfde werk vanuit huis onder eigen vlag zouden doen.
Ik heb er wat dubbele gevoelens over. Het is eerbaar wanneer je toevallig of gericht tegen een lek aan loopt om dit te melden aan de leverancier en als leverancier is het netjes om mensen die de problemen aan jou melden, te bedanken. En een bedankje mag best wat kosten als het een flinke gunst was.
Maar ik denk niet dat het standaard moet zijn. Tenzij het goedkoper is om te bezuinigen op je eigen testers en de lekken door de rest van de wereld te laten vinden.
Als je rijk wordt van het doorverkopen van lekken aan mensen die er kwade bedoelingen mee hebben, ben je gewoon een crimineel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
