Mozilla beloont bugjagers

Ontdekking lek is 500 dollar waard

15 september 2004 | Stijn Wuyts Een maand na de lancering van haar Security Bug Bounty Program betaalt de openbronorganisatie Mozilla de eerste beloningen uit. Vier programmeurs krijgen elk 500 dollar voor de ontdekking van een grote beveiligingsfout in Mozilla-software. De organisatie wil hiermee aantonen dat ze de veiligheid van haar producten ernstig neemt.

Het Security Bug Bounty Program wil programmeurs aansporen om de broncode van Mozilla-software te bestuderen en eventuele fouten aan de organisatie te melden. Wie een ernstige fout ontdekt, waarbij mogelijk gevaarlijke code uitgevoerd kan worden of confidentiële gebruikersinformatie zichtbaar wordt, krijgt 500 dollar en een t-shirt van de organisatie.

Marcel Boesch, Gael Delalleau, Georgi Guninski en Mats Palmgren zijn de eerste onderzoekers die voor het ontdekken van een beveiligingslek in de Mozilla browsers of e-mail client een beloning krijgen.

"Ik vind de kwaliteit van de code over het algemeen erg goed", zegt Delalleau, een beveiligingsexpert van Zencom Secure Solutions. "Ik bestudeerde andere delen van de code zonder iets te vinden, voor ik me op de POP3-module richtte." Delalleu ontdekte uiteindelijk een bug in de Mozilla e-mail client. Eén van de andere winnaars, Mats Palmgren, stortte zijn beloning terug aan de organisatie om toekomstige uitbetalingen te ondersteunen.

Mozilla lanceerde het beloningsprogramma op 2 augustus dankzij een fonds ter waarde van 10.000 dollar van openbronvrijwilligers, Linux-distributeur Linspire en de Zuid-Afrikaanse ondernemer Mark Shuttleworth, oprichter van certificatenbedrijf Thawte. De organisatie vraagt om extra giften om het veiligheidsonderzoek te kunnen blijven aanmoedigen. Voor iedere dollar die een sponsor stort, doet Shuttleworth er bovendien nog eentje bovenop.

Softwaregigant Microsoft heeft een gelijkaardig beloningsprogramma, het Anti-Virus Reward Program. Het bedrijf deelt 250.000 dollar uit aan wie tips levert die leiden naar de schrijvers van virussen voor het Windows besturingssysteem. Microsoft lanceerde de campagne met een fonds van 5 miljoen dollar in november 2003. Gisteren raakte echter bekend dat de eerste tipgevers die volgens het programma recht hebben op een beloning, nog even op hun geld moeten wachten. Microsoft betaalt pas als de virusschrijver effectief veroordeeld is. Ondanks het tipgeld zijn bovendien de makers van MSBlast, Sobig en MyDoom nog altijd niet gevonden. Lees meer artikels over : mozilla, linux, bug, bounty, beloning, beveiliging, security

bron: ZDNet