Mozilla verhoogt beloning voor lekvinders

Mozilla betaalt ontdekkers van gevaarlijke beveiligingslekken inmiddels fors meer dan enkele jaren geleden. Tegenwoordig krijgen vinders van gaten in de beveiliging drieduizend dollar. Dat was vroeger zeshonderd dollar.

Firefox-logo De beloning die Mozilla voor de ontdekking van lekken betaalt, geldt alleen voor ernstige lekken die door aanvallers van buitenaf te misbruiken zijn. Dat zei Chris Hofman, director of engineering bij Mozilla, op de Hack in the Box-conferentie in Amsterdam.

Hofman erkent dat sommige andere partijen veel meer voor een lek betalen, zo meldt Security.nl, dat bij de presentatie was. In voorkomende gevallen wordt zelfs tot 100.000 dollar uitbetaald, maar voor dergelijke bedragen moet er een werkende exploit worden meegeleverd, stelt Hofman, en dat hoeft bij Mozilla niet.

Volgens de topman moet het proces van het melden en repareren van lekken beter worden gestroomlijnd. "We bevinden ons nu in het Wilde Westen", aldus Hofman. "In plaats van wapens zijn er exploits, en iedereen schiet ermee."

Hofman is wel te spreken over het update-mechanisme van Firefox. Daardoor zou 90 procent van de gebruikers binnen twee weken na een update over de nieuwste versie beschikken. Hofman werkt momenteel aan Firefox 4; onder andere de html 5-parser en css transitions zouden al in de browser verwerkt zijn. Mozilla werkt momenteel aan een build voor 64bit-platforms.

Reacties (36)

FatBob 2 juli 2010 18:05

Belachelijk dat Mozilla 3000 euro betaald om hun browser te hacken .

ikt @FatBob • 2 juli 2010 18:11

Nou, niet echt. 3000 dollar is wat minder dan loon van meerdere ongemotiveerde programmeurs. Programmeurs/bugtesters moet je sowieso betalen, mensen die het gewoon doen betaal je pas als je echt een lek hebt gevonden. En elke lek minder, is een punte meer voor betrouwbaareid, en dat lokt meer gebruikers, wat er tot leidt dat Firefox meer marktaandeel krijgt.

LuckY @ikt • 2 juli 2010 19:12

Ohja want mensen zijn machines en schrijven onhackbare code.
Foutjes komen nu eenmaal voor die mogelijk helemaal niet tevoorschijn komen voordat er daadwerkelijk een bug is. Dan gaat men spelen met de bug en kan er een exploit komen. Code wordt geschreven door mensen, mensen maken fouten ergo code bevatten fouten.

Iedereen die code schrijft snapt dat, vaak hebben mensen te maken met deadlines en wordt security er als een laag bijgedouwd, echter moet vanaf het begin al security in het model zitten, ook al denk ik zeker dat mozilla dit heeft, erger kunnen er nog altijd bugs inzitten die te exploiten zijn. Na loop van tijd wordt er meer bekend over dingen en dan zie je wel een mogelijke attack vector

Dus wat je zegt klopt niet, je kan niet verwachten van mensen dat ze foutloze code schrijven niet iedereen is security minded.

SuperDre

Hackers

@LuckY • 3 juli 2010 00:33

echter moet vanaf het begin al security in het model zitten

alleen dat is heel lastig aangezien je op dat moment ook maar een bepaalde knowledge hebt mbt security.. Dus je zult altijd hebben dat er een extra laag wordt bijgebouwd. maargoed dat is weer mooi voor de volgende rewrite..

MasterPa @ikt • 3 juli 2010 06:37

Nou, niet echt. 3000 dollar is wat minder dan loon van meerdere ongemotiveerde programmeurs.

In Nederland klopt dit, maar er zijn genoeg landen waar dit heel veel geld is (oude gegevens maar toch:http://www.worldsalaries.org/computerprogrammer.shtml. En zeker voor jongeren die een lek ontdekken kan dit in genoeg landen betekenen dat ze een studie kunnen doen.

Daarnaast is het ook niet bedoeld als salaris maar als extra bonus om mensen te stimuleren fouten door te geven in plaats van ze te gaan gebruiken.

p0st

@FatBob • 2 juli 2010 18:09

Ik vind het een zeer goed initiatief anders! Door deze beloningen worden mensen getriggerd om te gaan hacken, dit te publiceren en vervolgens kan Mozilla optimale bescherming tegen hacks bieden! Win-Win dus

Little Penguin

Browsers
Mozilla

@FatBob • 2 juli 2010 18:44

Nu draai je de boel wel weer om, krijgen de zgn white hat hackers een keer een kleine beloning, dan is het weer niet goed.

Mozilla is er niet op uit dat je gaat hacken maar als je het toch doet en een ernstig lek vind,dan willen ze je wel een vergoeding geven. Het einddoel is een veilige(re) browser en daar wordt iedereen beter van. In elk geval de Fx-gebruikers...

RubenBentein @FatBob • 3 juli 2010 00:47

Ik zie het niet als hacken, maar integratietesten bij de gebruikers van de browser: doet de software wat ik wil, of is er ongewenst gedrag.

Rembert @FatBob • 3 juli 2010 09:54

Oh? Want? Misschien kun je dat een beetje onderbouwen.

Ik laat me soms wel inhuren door bedrijven om te proberen hun software of websites te hacken. Ik ben geen super-hacker maar meestal vind ik wel wat mogelijkheden.

En ja, daar krijg ik gewoon voor betaald. Als ik naar het gemiddelde kijk, dan haal ik die 3000 euro per lek echt niet. Dus Mozilla betaalt eigenlijk heel behoorlijk. Aan andere kant, als ik niets vind, dan word ik dus nog steeds betaald - en da's bij Mozilla natuurlijk niet.

Mocht je dus bij Mozilla tegen iets raars aanlopen, bv. een buffer overflow waarna de software raar reageert, dan kun je twee dingen doen: browser restarten en met je eigen bezigheden verder gaan (daar heeft Mozilla helemaal niets aan), of eventjes verder kijken of je het kunt reproduceren en zo ja, of je er daadwerkelijk wat mee kunt. En dan zou Mozilla heel graag zien dat je dit ff naar ze mailt - er kan zomaar een beloning van 3000 euro tegenover staan. Ik zou het wel weten...

zeemeerman2 2 juli 2010 18:05

Dus...
Als je een "slechterik" bent die erop uit is om iedereen te hacken en via FireFox lekken misbruikt, heb je er zelf maar weinig aan. Buiten wat plezier, maar dat is het. En misschien ook wat geld, op onrechtstreekse manieren, en maar "kans op" geld te krijgen via hacks.

PRO:
- Plezier voor jezelf

Smiley is erg toepasselijk.

CONTRA:
- "Kans op" geld te verdienen. Misschien veel, maar misschien ook weinig. En misschien niets.

Als je een "goeierik" bent die erop uit is de lekken te melden, krijg je instant money verzekerd door Mozilla.

PRO:
- Overwinningsgevoel voor jezelf en voor anderen

- 3000 dollar zo verdiend, geen zorgen over "mogelijk" geld te verdienen

CONTRA:
- niets

Aan welke kant sta jij?

ClementL @zeemeerman2 • 2 juli 2010 21:49

En telt een goed geweten niet dan?
Daarbij is dat soort van "egoisme", om het zo maar even te noemen, 1 van de belangrijkste redenen dat er nog beveiliging nodig is. Als iedereen nou eens met mekaar omging zoals diegeen zelf behandeld wil worden...

mae-t.net @ClementL • 3 juli 2010 03:25

Dan nog is er een kans dat een willekeurige beveiliging waar een foutje in zit, door een ongelukje het loodje moet leggen. Het is dus zelfs in een utopisch goede wereld waarin niemand kwade intenties heeft, nog steeds van belang om je "beveiliging" op orde te hebben.

Ik schrijf dit woord tussen aanhalingstekens, omdat exploits gewoon fouten zijn in de software die opgelost dienen te worden, en feitelijk zelfs niets met beveiliging te maken hoeven hebben.

[Reactie gewijzigd door mae-t.net op 26 juli 2024 16:52]

Anoniem: 121240 @ClementL • 4 juli 2010 09:18

<offtopic>
Ja hallo, duh... als het zo simpel was hadden we niet eens wetten en regels nodig...
</offtopic>

Gamebuster @zeemeerman2 • 2 juli 2010 23:01

Goeierik, overduidelijk.

Trots en geweten tellen ook ruimschoots mee.

WinXis 2 juli 2010 19:18

het is wel slim van mozzilla want nu kunnen ze het veiliger maken

E-jey 2 juli 2010 20:02

Op ajaxian staat een lijstje met nieuwe features voor firefox4. Dat ziet er zeer indrukwekkend uit. Een paar voorbeelden: hardware acceleration, WebGL ( 3d spellen via de browser ), vernieuwde javascript engine en betere SVG support ( svg image als css background bijv. )

Goed om te zien dat ze nog steeds veel aandacht hebben voor de security. Ze zijn goed bezig bij mozilla.

Anoniem: 272003 2 juli 2010 20:17

Stel je nou voor dat je een hele slimme hekker bent... Dan plant je eerst een lek in een nieuwe feature die verzocht is via bugzilla. En een weekje later "vindt" je je eigen gemaakte lek! Lucratief lijkt me. Hopelijk hebben ze daar wat slims op verzonnen.

Blaise @Anoniem: 272003 • 3 juli 2010 01:59

Als je een Firefox bug "fixt" wordt je code eerst gereviewed voordat het wordt gemerged.

Tijdens dat proces wordt zoiets waarschijnlijk wel opgemerkt: als je een beveiligingsbug open en bloot introduceert , dan ziet een expert dat, en als je die bug onherkenbaar maakt door vaagheden en verdoezelingen in de code, dan is je code niet van genoeg kwaliteit voor goedkeuring.

Anoniem: 272003 @Blaise • 3 juli 2010 11:27

Dat is een aanname. Sommige code fouten zijn zo subtiel, daar snap ik helemaal niks van dat het ook nog uitbuitbaar is.

Precision @Anoniem: 272003 • 2 juli 2010 23:05

# Submitter must not be the author of the buggy code nor otherwise involved in its contribution to the Mozilla project (such as by providing check-in reviews).

Het zal dus niet pakken

En oja dat gaan ze heus wel vinden.

RubenBentein @Precision • 3 juli 2010 00:40

2 accounts gebruiken dan

Precision @RubenBentein • 3 juli 2010 00:57

Waarschijnlijk dat iedereen zijn crimineel brein direct daar aan denkt. Maar dan moet je echt wel heel minutieus te werk gaan en geen enkele fout maken ivm dubbel inloggen en ip-adressen etc. Ik weet sowieso van mezelf dat ik in de fout zou gaan, dus zou ik het niet eens proberen

Dan maar ergens anders $ 3k scheppen, of het op een eerlijke manier scheppen denk ik dan.

[Reactie gewijzigd door Precision op 26 juli 2024 16:52]

Graviton12 2 juli 2010 18:06

De 4.0 beta1 release candidate is al uit trouwens.

Hc-Gamer 2 juli 2010 19:21

ik werk zelf ook met FireFox en tot nu geen problemen gehad.

Ik gebruikte eerst google chrome maar dat vind ik niet zo fijn en snel werken al FireFox

[Reactie gewijzigd door Hc-Gamer op 26 juli 2024 16:52]

Precision 2 juli 2010 19:22

Iemand een adres om naartoe te mailen? Ik heb mogelijk iets gevonden...
nevermind gevonden: security@mozilla.org

[Reactie gewijzigd door Precision op 26 juli 2024 16:52]