Beveiligingsfirma's vechten om nieuwe bugs

2.000 dollar voor een softwarelek

28 juli 2005 | Nico Vandenabeele Bugs zijn geld waard. Beveiligingsfirma's bieden tegen elkaar op om exclusieve informatie over nieuwe softwarelekken in handen te krijgen.

Beveiligingsspecialist iDefense, een dochteronderneming van VeriSign, kondigde dinsdag aan dat het bedrijf de beloning verdubbelt voor onderzoekers die een nieuwe bug melden.

Hackers of onderzoekers die regelmatig een nieuw lek melden, krijgen een hogere beloning. Wie meer bugs rapporteert dan het vorige jaar, kan bovendien rekenen op een extra premie.

De bekendmaking van iDefense komt een dag nadat grote concurrent TippintPoint startte met het betalen van tipgeld aan ontdekkers van beveiligingslekken in software.

Door exclusieve informatie over nieuwe bugs op te kopen, proberen de bedrijven elkaar de loef af te steken met beveiligingsoplossingen die zoveel mogelijk lekken dichten, nog voor de getroffen softwaremaker een officiële patch heeft uitgebracht.

Beide bedrijven houden de lippen stijf op elkaar als het om bedragen gaat, maar in een gesprek met onze moedersite CNet News.com licht een Franse beveiligingsexpert een tipje van de sluier.

Gael Delelleau verkocht eerder al informatie aan iDefense. Volgens Delalleau betaalt het bedrijf gewoonlijk 300 tot 1.000 dollar (250 tot 835 euro), afhankelijk van de ernst van het lek. Rekening houdend met de aangekondigde verdubbeling, is een niet eerder ontdekte bug nu tot 2.000 dollar waard.

De Franse bugjager is blij met de concurrentieslag tussen iDefensee en TippingPoint, maar niet iedereen is even blij met de situatie die dreigt te ontstaan. Ook cybercriminelen betalen namelijk steeds vaker grote sommen geld voor informatie over kwetsbaarheden in software en bedrijfsnetwerken. Sommige experts vrezen dat ontdekkers van bugs met hun informatie zullen rondleuren, waarbij de hoogstbiedende - crimineel of niet - de informatie te pakken krijgt.

Anderen hekelen dan weer de dubbelzinnige positie van de beveiligingsbedrijven. Zowel iDefense als TippingPoint beloven de buginformatie door te spelen aan de makers van het getroffen stukje software, maar niet iedereen is daar gerust op.

"Kunnen we erop vertrouwen dat deze firma's, die hun bestaan danken aan kwetsbaarheden in andermans software, met volle overgave zullen meewerken aan het vinden van een oplossing?", vraagt bugjager Keith McCanless zich af.

Met een bijdrage van Joris Evers, News.com Lees meer artikels over : bug, lek, beveiliging, idefense, tippingpoint

bron: ZDNet