image

Mozilla: Hackers belonen is noodzaak

maandag 13 juni 2011, 15:10 door Redactie, 4 reacties

Het betalen van hackers voor het rapporteren van beveiligingslekken is essentieel om zowel software als gebruikers te beschermen, aldus browserontwikkelaar Mozilla. Het bedrijf beloont beveiligingsonderzoekers sinds 2004 voor gevonden bugs. Ook andere partijen als Google geven hackers een financiële vergoeding. "We kopen niet het stilzwijgen van een onderzoeker, we geven een beloning voor constructief beveiligingsonderzoek," zegt Lucas Adamski van Mozilla.

Hij merkt op dat onderzoekers hun bugs en exploits via ondergrondse markten kunnen verkopen. Daar worden onderzoekers betaald zolang hun lek onopgemerkt blijft, wat de kans verkleint dat een leverancier het lek ook ontdekt en kan oplossen. Daarnaast betalen deze ondergrondse markten voor volledig werkende exploits, wat vaak meer werk is dan het vinden van alleen een lek.

Essentieel
Volgens Adamski hebben deze ontwikkelingen gevolgen voor softwareontwikkelaars. "Je kunt niet langer verwachten dat een zero-day wordt verzilverd via rootkits die over het internet worden verspreid, wat de leverancier op het probleem wijst en een oplossing mogelijk maakt. Alles wordt gedaan om deze bugs zolang als mogelijk te verbergen, wat betekent dat een snelle respons niet langer meer een adequate primaire strategie is."

Adamski vindt dat leveranciers allerlei middelen moeten inzetten om problemen proactief te vinden en op te lossen. "En niet met het patchen van bugs wachten in de valse veronderstelling dat niemand anders ze zal ontdekken." Een beloningsprogramma is volgens Adamski een essentieel onderdeel van die strategie bij Mozilla, omdat het de kans op het vinden van een lek vergroot.

Reacties (4)
13-06-2011, 21:52 door Anoniem
Zelf ook altijd (vanaf de ontwikkeling van mijn web applicaties) gezegd, dat diegene die door breken door mijn beveiliging een vergoeding kunnen ontvangen, om zo het systeem veiliger te krijgen. Alles beter dan je data verliezen en een slechte reputatie te krijgen, zie bv sony of imf..
13-06-2011, 22:32 door [Account Verwijderd]
[Verwijderd]
13-06-2011, 23:33 door DarkViewOfTheWorld
Hacker != Beveiligingsonderzoeker

Zeker op een forum dat rond security draait zijn zo'n statements nogal frapant en irritant imho ....

Overigens toont de hoeveelheid bedrijven die deze strategie hebben overgenomen genoeg aan hoe goed dit werkt.

Keep it up Mozilla !
14-06-2011, 10:24 door Mysterio
Hmmm... Even zwart-wit bekeken. Je hebt mensen (noem ze hackers of onderzoekers...) die ongevraagd jouw software op de korrel nemen, komen met adviezen en eventuele lekken/bugs en je bent dan 'verplicht' ze geld te geven?

Het is een andere strategie. Microsoft heeft onderzoekers in dienst of huurt ze in, om dit te doen. Ik snap wel dat je er dan niet zo happig op bent om diezelfde mensen per lek te betalen als ze hetzelfde werk vanuit huis onder eigen vlag zouden doen.

Ik heb er wat dubbele gevoelens over. Het is eerbaar wanneer je toevallig of gericht tegen een lek aan loopt om dit te melden aan de leverancier en als leverancier is het netjes om mensen die de problemen aan jou melden, te bedanken. En een bedankje mag best wat kosten als het een flinke gunst was.

Maar ik denk niet dat het standaard moet zijn. Tenzij het goedkoper is om te bezuinigen op je eigen testers en de lekken door de rest van de wereld te laten vinden.

Als je rijk wordt van het doorverkopen van lekken aan mensen die er kwade bedoelingen mee hebben, ben je gewoon een crimineel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.