Google gaat beveiligingsonderzoekers betalen voor het zoeken naar bugs

Google gaat vanaf dit jaar beveiligingsonderzoekers inhuren om bugs te zoeken. Er komen verschillende onderzoeksbeurzen beschikbaar waarvoor geïnteresseerden zich kunnen opgeven. Vorig jaar betaalde Google meer dan anderhalf miljoen dollar uit aan bugzoekers.

Op zijn blog legt Google uit wat zijn plannen zijn voor beveiligingsonderzoekers die bijdragen aan het opsporen van bugs in software. Omdat het door intern beveiligingsonderzoek steeds moeilijker wordt om fouten in software te vinden wil Google onderzoekers vooraf gaan betalen. Op die manier moeten zij gemotiveerd blijven om naar bugs te speuren: normaal gesproken wordt er alleen uitbetaald als er een lek wordt gevonden.

Google stelt een bedrag van 3.113,70 dollar per onderzoeker beschikbaar. Dat is omgerekend ongeveer 2750 euro. Er komen beurzen beschikbaar voor verschillende security-onderwerpen. Onderzoekers kunnen zich inschrijven voor het onderwerp waar zij interesse in hebben. Wie betaald krijgt van Google voor speurwerk krijgt nog steeds een bedrag uitgekeerd als er ook daadwerkelijk een bug wordt gevonden.

Vorig jaar betaalde Google ongeveer anderhalf miljoen dollar uit aan onderzoekers die bugs hebben gevonden. Omgerekend is dat ongeveer 1,33 miljoen euro. Ongeveer 200 onderzoekers werden beloond voor het vinden van zo'n 500 bugs. Het grootste bedrag dat voor het vinden van een bug werd betaald is 133.000 euro. De vinder kreeg tevens een stage aangeboden.

Door RoD

Admin Mobile

Feedback • 31-01-2015 11:4936

31-01-2015 • 11:49

36 Linkedin

Lees meer

Google stopt met ondersteunen van Chrome voor Android 4.0 Nieuws van 3 maart 2015
Google: dichten van lekken in browser oude Android-versies is niet haalbaar Nieuws van 25 januari 2015
Google publiceert opnieuw kwetsbaarheden Windows Nieuws van 16 januari 2015
Netwerk en systeembeheer Google

Reacties (36)

-Moderatie-faq
36
35
20
0
0
2
Wijzig sortering
MrFax
31 januari 2015 12:19
Dus ipv onderzoekers betalen voor het vinden van bugs, gaat ze betalen voor het zoeken naar bugs(Dan zal dat eerst ook wel meegerekend worden).

Maar nog steeds verdienen hackers meer aan het verkopen van security issues dan ze te geven aan google.
ro8in
@MrFax31 januari 2015 12:48
Je moet maar ook net de kanalen weten om deze op de zwarte markt te kunnen verkopen plus er bestaat ok nog zoiets als ethiek.
dsmeef
@ro8in31 januari 2015 13:16
En als ethiek geen issue is kan je de bug wellicht ook twee keer verkopen ;)
bbob
@dsmeef31 januari 2015 15:26
Nee google geeft de rest 90 dagen de tijd om daarna alles publiek te maken.

Je kan dus ook lezen google gaat actief op zoek naar bugs, betaald daar zelfs voor om ze na 90 dagen openbaar te maken.
dsmeef
@bbob31 januari 2015 15:59
Klopt, maar ik reageerde op het zwarte markt stuk van ro8in, en dan daarna alsnog verkopen aan Google
robvanwijk
@dsmeef31 januari 2015 16:58
Wat Google daar van vindt is één ding, hoe blij je vriendjes op de zwarte markt er mee zijn dat je ze belazerd... Misschien handiger om dat niet uit te proberen.
Luxx
@MrFax31 januari 2015 13:31
Of je verkoopt ze éerst op de zwarte markt, en 2 weken later aan Google...
Ethisch misschien niet helemaal okay, maar financieel mogelijk wel dubbel lekker.
thegve
@Luxx31 januari 2015 14:26
Ik schat zo in dat je beter kan voorkomen dat je ruzie maakt met onderwereld figuren.
polthemol
@MrFax1 februari 2015 00:16
beetje stating the obvious wat je doet.

Natuurlijk zal een blackhat meer verdienen (of kunnen verdienen) door iets te abusen / te verkopen in het illegale circuit.

De maximale opbrengst van een bug is in theorie wat de maximale schade is (iets eronder). Daar ga je niet tegenop kunnen bieden als google zijnde.
Anoniem: 601896
31 januari 2015 12:22
Als consument is het fijn, dat een bug gevonden wordt,
Maar nog fijner als ze ook worden opgelost.
In plaats van dat ze zeggen 'het is te veel werk'.
nieuws: Google: dichten van lekken in browser oude Android-versies is niet haalbaar

Zeker als je weet dat je partners bewust niet iedereen updates geven, zou ik mij richten op het veilig houden van de 60% van je klanten die gebruik maken van je open-source webbrouwser. Zodat iedereen ook mensen die een open source webviewer gebruik veilig gebruik kunnen blijven maken van je platform.
batjes
@Anoniem: 60189631 januari 2015 12:52
Dit dus, Google lijkt hun best te doen van "Wij zijn een veiligheidsbewust bedrijf" en dan op zulke belangrijke punten zulke steken laten vallen. 1,5 jaar oude OS releases niet ondersteunen. (Niet dat die Android versies er minder gatenkaas van worden)Chrome die al een aantal jaar constant veel hoger scoort dan IE op exploit ranglijsten. (wordt ook nog eens vergeleken met IE11 32bit zonder protected mode, lekker eerlijk ook)

Google heeft de laatste jaren echt een slechte track record qua security, hopelijk veranderd dat nu eindelijk (android 5 lijkt goed op weg te zijn), ze zouden zichzelf best wel wat minder arrogant neer mogen zetten en wat meer naar de realiteit mogen kijken.
CMD-Snake
@batjes31 januari 2015 12:58
ze zouden zichzelf best wel wat minder arrogant neer mogen zetten en wat meer naar de realiteit mogen kijken.
Ach, ze proberen nu ook dan een goede beurt te maken met 90 dagen na ontdekking moet iemand de bug gepatched hebben. Nu hebben ze dus al een bug in Windows in de spotlight gezet en een bug in de Flash player die best ernstig is qua misbruik. Wat dat betreft heeft Google ook een kilo boter op zijn hoofd. Niet elke bug is in 90 dagen te fixen. Sommigen vereisen meer werk en testen. Nu met dit schijnheilige beleid maken ze dus lekken openbaar en wie is het slachtoffer? De mensen thuis die zich niet kunnen wapenen tegen de lekken. En Google staat erbij en kijkt ernaar met iets van "Wij hebben onze plicht gedaan".
batjes
@CMD-Snake31 januari 2015 13:18
De exploit van Windows was zelfs niet echt bruikbaar in de echte wereld, CMD uitschakelen of UAC tandje hoger zetten was genoeg. Toch deed Google wel de indruk geven alsof iedereen nu op elke windows PC in de hele wereld met een druk op de knop administrator rechten had.

Ik vind het echt jammer te zien dat Google zo af lijkt te zakken, de koers die ze een aantal jaar geleden ingeslagen zijn, zal hun ondergang zijn als ze zo doorgaan.
Had ooit veel respect voor Google, het opengooien en verder brengen van het toentertijd gestagneerde internet, maar ook hun werkwijzes waren respectvol.
Microsoft moest ook hard op hun bek gaan voordat ze zichzelf weer gevonden hadden (die gingen in de jaren 90 ook hard de verkeerde kant op), ik hoop dat Google ook kan recoveren van zo op hun plaat gaan en zichzelf weer vinden. Want op hun bek gaan ze toch.
raro007
@batjes31 januari 2015 14:37
en dat uac tandje hoger zetten doet iedereen.
nou ik ken niemand die dat tandje hoger zet!!
misschien in het bedrijf leven maar zelfs daar verwacht ik niet iedereen.
raro007
@batjes31 januari 2015 13:15
Je bedoelt de exploits die gevonden woorden omdat google mensen betaald?
Of heb je liever dat die gaten alleen gevonden woorden Door criminelen?
batjes
@raro00731 januari 2015 13:21
Criminelen mogen van mij die windows exploits vinden, succes met toepassen in een netwerk waar ik(of iedere beetje competente systeembeheerder) beheer over heb.
En thuis gebruikers zitten by default met administrator accounts ingelogd en drukken bij elke UAC waarschuwing toch wel "ja".
Zulke serieuze exploits vind Google niet. Stop het Microsoft Security team een paar maandjes op Android en dan ga je pas leuke serieuze exploits tegen komen gok ik.
Nystran
@batjes1 februari 2015 20:40
Vanuit mijn werk ben ik nieuwsgierig naar hoe een goede systeembeheerder werkt. Configureer je alles goed, en werk je dit regelmatig bij, of heb je ook tijd om actief te speuren naar verdachte patronen? Ik kan me voorstellen dat als je het druk hebt, dit het eerste is wat uitgesteld wordt. En ga je er vanuit dat een tool die verdachte patronen wel weet te vinden en een waarschuwing geeft, of analyseer je actief de resultaten?
batjes
@Nystran2 februari 2015 07:36
Alles voorkomen gaat niet, maar de exploits van Google zijn tegen te houden door standaard beveiligen.

En het overgrote deel van de exploits of zelfs zero days is op Windows met klein gemak tegen te houden.
Stannieman
@raro00731 januari 2015 14:20
Je mag er zelf naar zoeken als dat ervoor zorgt dat ze dan ook oplost worden en de criminelen ze ook niet meer kunnen gebruiken.
Als je al niet van plan bent ze op te lossen is het beter er ook niet naar te zoeken want dan geef je de criminelen gewoon een goede voorzet.
raro007
@Anoniem: 60189631 januari 2015 13:11
Je weet wel dat ze zulke gaten kunnen dichten vanaf Android 4.4?
of wil je die statement elke keer Blijven roepen omdat je niks beters weet te zeggen.
CMD-Snake
@raro00731 januari 2015 13:20
Je weet wel dat ze zulke gaten kunnen dichten vanaf Android 4.4?
Want hoeveel toestellen zijn er niet in de wereld die nog een Android versie lager dan 4.4 draaien? Ik denk nog aardig veel.

Tussen kunnen en doen zit nog een wereld van verschil. Alhoewel Google doorgaat met het ontwikkelen van het OS, blijft het updaten van bestaande toestellen achter. Dit ligt ook aan de fabrikanten. Die gieten over Android hun eigen sausje heen en elke update moet ook daarom door de fabrikant bewerkt worden om te werken op hun toestellen met hun sausje. Fabrikanten houden hun topmodellen kortstondig bij, maar verliezen al snel interesse. Het is misschien dan toch mooier als het patchen van het OS in beheer blijft van de ontwikkelaar ervan, zoals Apple en Microsoft doen met hun respectievelijke mobiele OS'sen.
EraYaN
@CMD-Snake31 januari 2015 13:45
Maar aan de andere kant, je wist dat toe je een android telefoon kocht. Kort gezegd: het was een keuze.

En daarbij is Android (lv. 18) 4.3 uit Juli 2013. Kan ik ze niet echt kwalik nemen.
raro007
@CMD-Snake31 januari 2015 13:31
omdat fabrikanten hun eigen sausje kunnen gieten kiezen ze android boven wp.
door die sausje kunnen ze zich onderscheiden.
halofreak1990
@raro00731 januari 2015 14:09
Mij lijkt het me beter dat je je onderscheidt door een kwalitatief betere telefoon te leveren dan een schil die 90% van de tijd ook nog eens onnodig performance inpikt. Daarnaast draait zelfs een low-spec telefoon met Windows vloeiend, terwijl Android minstens in het medium segment moet zitten voor vergelijkbare performance.
raro007
@halofreak199031 januari 2015 14:24
telefoons zijn haast niet meer te onderscheiden omdat er veel concurrentie is, die bijna zo niet het zelfde toestel uitbreng,
dan moet je wel op een ander manier zij het eigen schil of bloatware (eigenapps zoals samsung).
voor bloatware kijk maar naar windows laptops lenovo is een mooie voorbeeld.
halofreak1990
@raro0071 februari 2015 11:45
telefoons zijn haast niet meer te onderscheiden omdat er veel concurrentie is, die bijna zo niet het zelfde toestel uitbreng,
Ja, dus? Het gebrek aan inspiratie voor een eigen ontwerp moet dan maar gecompenseerd worden met een vaak nutteloze grafische schil? Sorry, hoor maar als je geen nieuw ontwerp meer kunt verzinnen, is het misschien tijd om je op een andere markt te gaan richten in plaats van wanhopig jezelf vast te klampen aan vergane glorie.
Anoniem: 470811
@Anoniem: 60189631 januari 2015 16:49
Webview op Android heeft helemaal niks met de browser te maken.
Titan_Fox
31 januari 2015 13:06
Google steekt dus de hand in eigen boezem. Dat vind ik best sportief. Ik bedoel; aan de ene kant treiteren ze Microsoft wel met het publiceren van bugs en beveiligingsproblemen in Windows, maar ze zijn dus ook niet te beroerd om hun eigen producten kritisch tegen het licht te houden.

Misschien ook wel om te voorkomen dat Google's concurrenten hetzelfde truukje bij hun flikken, maar zolang de gebruiker er maar beter van wordt vind ik het prima. Alle beetjes helpen.
Macshack
@Titan_Fox31 januari 2015 15:46
Tja. Wat je sportief noemt. Google bestaat voornamelijk alleen maar uit web diensten. De verantwoordelijkheid van Android hebben ze al van zich afgeschud. Dus een lek in Windows en 90 dagen geven om het op te lossen is heel wat anders dan een Apache lek of ssl lek dichten. Dus het blijft flauw en onsportief.
zvbhvb
31 januari 2015 20:16
Het zou ook fijn zijn als google WebRTC standaard uit zet.
Anoniem: 646537
31 januari 2015 21:10
Google stelt een bedrag van 3.113,70 dollar per onderzoeker beschikbaar. Dat is omgerekend ongeveer 2750 euro.
Dus 1 onderzoeker en 1 lek/bug?
Tarabass
31 januari 2015 13:09
En als ze dan gevonden worden doet Google er niets mee, want te lastig en code van een jaar oud. Zolang er nu al telefoons in de winkel liggen die niet meer voorzien worden van fixes voor kritieke bugs haalt dit allemaal niets uit..
AnonymousWP
@Tarabass31 januari 2015 15:13
Lijkt me niet. Dat zou betekenen dat ze die beveiligingsonderzoekers voor Jan Joker betalen.
pr1nsje
31 januari 2015 12:00
klinkt best wel fraudegevoelig, kan toch gewoon zeggen dat ik niks verkeerds heb gevonden zonder er echt goed naar gekeken te hebben.
Luxx
@pr1nsje31 januari 2015 12:13
Google is natuurlijk ook niet gek. Je zult een fatsoenlijk onderzoeksplan moeten neerleggen, wat ga je onderzoeken, welk soort bugs, hoe ga je dat zoeken/bewijzen.
Ik vermoed zelfs inclusief testplannen en/of code-analyse methode, en resultaten van die aanpak.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee