Mozilla: Hackers belonen is noodzaak
Het betalen van hackers voor het rapporteren van beveiligingslekken is essentieel om zowel software als gebruikers te beschermen, aldus browserontwikkelaar Mozilla. Het bedrijf beloont beveiligingsonderzoekers sinds 2004 voor gevonden bugs. Ook andere partijen als Google geven hackers een financiële vergoeding. "We kopen niet het stilzwijgen van een onderzoeker, we geven een beloning voor constructief beveiligingsonderzoek," zegt Lucas Adamski van Mozilla.
Hij merkt op dat onderzoekers hun bugs en exploits via ondergrondse markten kunnen verkopen. Daar worden onderzoekers betaald zolang hun lek onopgemerkt blijft, wat de kans verkleint dat een leverancier het lek ook ontdekt en kan oplossen. Daarnaast betalen deze ondergrondse markten voor volledig werkende exploits, wat vaak meer werk is dan het vinden van alleen een lek.
Essentieel
Volgens Adamski hebben deze ontwikkelingen gevolgen voor softwareontwikkelaars. "Je kunt niet langer verwachten dat een zero-day wordt verzilverd via rootkits die over het internet worden verspreid, wat de leverancier op het probleem wijst en een oplossing mogelijk maakt. Alles wordt gedaan om deze bugs zolang als mogelijk te verbergen, wat betekent dat een snelle respons niet langer meer een adequate primaire strategie is."
Adamski vindt dat leveranciers allerlei middelen moeten inzetten om problemen proactief te vinden en op te lossen. "En niet met het patchen van bugs wachten in de valse veronderstelling dat niemand anders ze zal ontdekken." Een beloningsprogramma is volgens Adamski een essentieel onderdeel van die strategie bij Mozilla, omdat het de kans op het vinden van een lek vergroot.
Zeker op een forum dat rond security draait zijn zo'n statements nogal frapant en irritant imho ....
Overigens toont de hoeveelheid bedrijven die deze strategie hebben overgenomen genoeg aan hoe goed dit werkt.
Keep it up Mozilla !
Het is een andere strategie. Microsoft heeft onderzoekers in dienst of huurt ze in, om dit te doen. Ik snap wel dat je er dan niet zo happig op bent om diezelfde mensen per lek te betalen als ze hetzelfde werk vanuit huis onder eigen vlag zouden doen.
Ik heb er wat dubbele gevoelens over. Het is eerbaar wanneer je toevallig of gericht tegen een lek aan loopt om dit te melden aan de leverancier en als leverancier is het netjes om mensen die de problemen aan jou melden, te bedanken. En een bedankje mag best wat kosten als het een flinke gunst was.
Maar ik denk niet dat het standaard moet zijn. Tenzij het goedkoper is om te bezuinigen op je eigen testers en de lekken door de rest van de wereld te laten vinden.
Als je rijk wordt van het doorverkopen van lekken aan mensen die er kwade bedoelingen mee hebben, ben je gewoon een crimineel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
