Beveiligingsfirma's vechten om nieuwe bugs

2.000 dollar voor een softwarelek

28 juli 2005 | Nico Vandenabeele Bugs zijn geld waard. Beveiligingsfirma's bieden tegen elkaar op om exclusieve informatie over nieuwe softwarelekken in handen te krijgen.

Beveiligingsspecialist iDefense, een dochteronderneming van VeriSign, kondigde dinsdag aan dat het bedrijf de beloning verdubbelt voor onderzoekers die een nieuwe bug melden.

Daarbovenop krijgen hackers of onderzoekers die regelmatig een nieuw lek melden, een hogere beloning. En daar houdt het niet mee op: wie meer bugs rapporteert dan het jaar voordien, kan rekenen op een extra premie.

De bekendmaking van iDefense komt een dag nadat grote concurrent TippingPoint startte met het betalen van tipgeld aan ontdekkers van beveiligingslekken in software.

Door exclusieve informatie over nieuwe bugs op te kopen, willen de bedrijven elkaar de loef afsteken met beveiligingsoplossingen die zoveel mogelijk lekken dichten, nog voor de getroffen softwaremaker een officiële patch heeft uitgebracht.

Beide bedrijven houden de lippen stijf op elkaar als het om bedragen gaat, maar in een gesprek met onze moedersite CNet News.com licht een Franse beveiligingsexpert een tipje van de sluier.

Gael Delalleau verkocht eerder al informatie aan iDefense. Volgens Delalleau betaalt het bedrijf gewoonlijk 300 tot 1.000 dollar (250 tot 835 euro), afhankelijk van de ernst van het lek. Rekeninghoudend met de aangekondigde verdubbeling is een niet eerder ontdekte bug nu tot 2.000 dollar waard.

De Franse bugjager is blij met de concurrentieslag tussen iDefense en TippingPoint, maar niet iedereen is even gelukkig met het financiële opbod tussen de twee firma's.

Ook cybercriminelen betalen steeds vaker grote sommen geld voor informatie over kwetsbaarheden in software en bedrijfsnetwerken. Sommige experts vrezen dat ontdekkers van bugs met hun informatie zullen rondleuren, waarbij de hoogstbiedende - crimineel of niet - de informatie te pakken krijgt.

Anderen hekelen dan weer de dubbelzinnige positie van de beveiligingsbedrijven. Zowel iDefense als TippingPoint belooft de buginformatie door te spelen aan de makers van het getroffen stukje software, maar niet iedereen is daar even gerust in.

"Kunnen we erop vertrouwen dat deze firma's, die hun bestaan danken aan kwetsbaarheden in andermans software, met volle overgave zullen meewerken aan het vinden van een oplossing?", vraagt bugjager Keith McCanless zich af.

Met een bijdrage van Joris Evers, News.com. Lees meer artikels over : bug, lek, beveiliging, idefense, tippingpoint

bron: ZDNet