Microsoft ongelukkig met beloning voor schrijven exploit

Het initiatief van iDefense om klokkenluiders van kritieke bugs in Windows te belonen met een bonus van tienduizend dollar, heeft weinig prijzende woorden opgeleverd vanuit Redmond. 'We geloven niet dat het aanbieden van een vergoeding voor informatie over kwetsbaarheden de beste manier is waarop onderzoekers kunnen helpen bij het beschermen van gebruikers', aldus een woordvoerder van Microsoft. De softwarefabrikant is van mening dat de beste methode om misbruik van gevoeligheden in het besturingssysteem tegen te gaan, is om de informatie hierover pas te publiceren wanneer er een patch beschikbaar is. Volgens de directeur van iDefense, Michael Sutton, helpt het beloningsmodel juist om informatie over bugs uit de handen van kwaadwillenden te houden.

iDefense logoHet plan van iDefense loopt tot 31 maart 2006 en bestaat uit twee beloningsonderdelen. Mensen die een kwetsbaarheid insturen, krijgen standaard een vergoeding van iDefense. Als later blijkt dat Microsoft de bug als kritiek bestempelt, dan wordt deze vergoeding verhoogd met tienduizend dollar. Vorig jaar wist het in 1998 opgerichte dochterbedrijf van VeriSign totaal honderdvijftig kwetsbaarheden te publiceren, waarvan er elf Microsoft-producten betroffen. Drie daarvan kregen later het label 'kritiek' mee. De achterliggende bedrijfsfilosofie is dat het oneerlijk is om mensen die helpen met het verbeteren van een product, niet te belonen. iDefense is niet de enige partij die deze opvatting aanhangt: ook 3Coms Tipping Point-afdeling koopt informatie over veiligheidslekken op in zijn Zero Day-initiatief.

'Bug race (klein)'Naast kritiek van Microsoft op het iDefense-initiatief, klinken er ook afkeurende geluiden uit een ander kamp. Een technisch manager van de National Vulnerability Database van de National Institute of Standards and Technology (NIST) is van mening dat door dit beloningsmodel onevenredig veel aandacht uit zal gaan naar weeffouten in Microsoft-producten. In het licht van de tendens om bugs te verkopen aan misbruikers, zal de beloning van iDefense de prijs alleen maar verder opdrijven en daarmee de deelname van hackers aan dit lucratieve circuit aantrekkelijker maken. Ook zou de toegenomen aandacht voor de problemen van een product de aandelen van het bijbehorende moederbedrijf negatief kunnen beïnvloeden.

Bug Hunter

Door Inge Janse

Feedback • 20-02-2006 11:34 30

20-02-2006 • 11:34

30

Bron: eWeek

Lees meer

Achtduizend dollar uitgeloofd voor bugs in Vista en IE7
Achtduizend dollar uitgeloofd voor bugs in Vista en IE7 Nieuws van 11 januari 2007
Veiligheidsonderzoeker ontdekt backdoors in pdf-bestanden
Veiligheidsonderzoeker ontdekt backdoors in pdf-bestanden Nieuws van 16 september 2006
Microsoft moet IE-patch patchen vanwege crashes
Microsoft moet IE-patch patchen vanwege crashes Nieuws van 17 augustus 2006
Defacer treft Franse expertwebsite Microsoft
Defacer treft Franse expertwebsite Microsoft Nieuws van 19 juni 2006
Microsoft patcht tien kritieke bugs, Eolas-patch ook in update
Microsoft patcht tien kritieke bugs, Eolas-patch ook in update Nieuws van 12 april 2006
Microsoft overweegt snellere veiligheidspatches
Microsoft overweegt snellere veiligheidspatches Nieuws van 29 maart 2006
'WMF-exploit ontdekt en verkocht door hackers'
'WMF-exploit ontdekt en verkocht door hackers' Nieuws van 4 februari 2006
Microsofts reactietijd op kritieke bugs geëvalueerd
Microsofts reactietijd op kritieke bugs geëvalueerd Nieuws van 13 januari 2006
December slechte maand voor ongediertestrijd Microsoft
December slechte maand voor ongediertestrijd Microsoft Nieuws van 19 december 2005
Microsoft dicht lekken in Windows en Internet Explorer
Microsoft dicht lekken in Windows en Internet Explorer Nieuws van 14 december 2005
SANS presenteert jaarlijkse Top20 van veiligheidslekken
SANS presenteert jaarlijkse Top20 van veiligheidslekken Nieuws van 23 november 2005
Exploitcode gepubliceerd voor 'zeer kritieke' IE-bug
Exploitcode gepubliceerd voor 'zeer kritieke' IE-bug Nieuws van 22 november 2005
Meer producten en artikelen
Software

Reacties (30)

-Moderatie-faq
30
30
22
11
4
6
Wijzig sortering

Sorteer op:

Weergave:
Maasluip Frontpage Admin 20 februari 2006 11:43
Je moet natuurlijk wel onderscheid maken tussen het zoeken naar bugs en het publiceren van bugs, vooral voordat er een patch voor is gekomen. Dat dat laatste door iDefense gedaan wordt zie ik niet uit het bericht naar voren komen.
n4m3l355 @Maasluip20 februari 2006 12:52
het publiceren is eerder een druk middel om MS te dwingen wel een probleem op te lossen. MS staat erom bekend problemen die zij als 'niet-kritiek' bestempelen naast zich neer te leggen ondanks dat deze fout al ruim een jaar open staat.
Killer 20 februari 2006 11:39
Beetje dubbel gevoel hierbij. Aan de ene kant natuurlijk goed. Op deze manier is het voor een hacker interresant om zijn gevonden lek te 'verkopen' en daarmee ook het lek te dichten. Op die manier is het minder lucratief om het illegale circuit in te duiken.

Maar ja, het nodigt ook uit om extra hard op zoek te gaan natuurlijk, waardoor er bugs aan het licht komen die anders verborgen bleven (alhoewel, is dat een slecht ding?) en je genereert extra aandacht voor een product en dat kan onevenredig komen te staan met verkeerde aandacht voor andere producten.

edit ---note to my self...sneller leren typen ;-)
dasiro 20 februari 2006 11:41
pijnlijk zou zijn als een hacker de site van iDefence zou aanvallen en direct alle gevonden bugs te pakken krijgt.
Verwijderd @dasiro20 februari 2006 11:44
heeft ie wel een lekker zak centje ;)
cyspoz 20 februari 2006 11:38
Ik heb er een beetje gemengde gevoelens in, maar denk dat de filosofie er achter wel erg goed is en ook daadwerkelijk zijn vruchten af kan werpen. Alleen moet je denk ik geen verschil maken met de producten van Microsoft.
miw @cyspoz20 februari 2006 11:53
Het helpt in ieder geval om eerlijke mensen eerlijk te houden. Nu heeft een programmeur die een fout vindt, alleen de keuze om die fout aan MS bekend te maken. MS maakt dan wellicht een patch een maakt er vervolgens goede sier mee (weer een security bug gepatched!). Winst voor de persoon die de fout rapporteerde is geheel niets. Het is voor een ontwikkelaar die een security bug ontdekt dan wel heel aantrekkelijk om eventueel via een tussenpersoon de informatie in het criminele circuit te verkopen. Nu kan je als eerlijke ontwikkelaar (en dat zijn er toch echt de meeste), tenminste nog iets verdienen aan je ontdekking. Bij Mozilla zie je vaak dat winnaars van een dergelijke security aanmeldingsbonus hun prijs vervolgens doneren aan een open source project.
De prijs van een crack in het criminele circuit heeft waarschijnlijk z'n eigen dynamiek en zal hooguit in mindere mate bepaald worden door de vergoeding voor een legale aanmelding van de vulnerability.
Overigens, zou iDefense ook een verantwoordelijke methode kunnen hanteren om bugs te publiceren, zodat de klachten van MS wel erg gezocht aandoen.
bamboe @cyspoz20 februari 2006 11:55
Zo worden bugs wel big cash....
Verkoop hem eerst aan andere hackers etc meld hem tegelijk aan bij idefense, en als je eerste klantjes goed hun werk doen krijg je een bonus van 10.000 dollar....
Verwijderd @cyspoz20 februari 2006 13:36
Microsoft of niet, het maakt niet uit. Ik ben er volledig tegen. Een ander bedrijf heeft niet het recht, naar mijn mening, om beloningen uit te loven als je een bug ontdekt.

Dat zou voor mij hetzelfde zijn als mensen geld gaan geven om een product van iemand anders slecht aan te prijzen...
cyspoz @Verwijderd20 februari 2006 13:47
Het idee is juist niet het slecht aanprijzen, maar juist het bijdragen aan de "perfectionering van software" Alleen zouden normaal bedrijven dit zelf moeten doen en dan eigenlijk zelf moeten zorgen voor een beloning voor de aanmelder van de bug.
SED @cyspoz20 februari 2006 15:44
Zou de opbrengst voor Linuxbugs net zo hoog liggen of gaat deze rare regel alleen op voor MS bugs. In dat laatste geval is de belangentegenstelling wel groot.
Verwijderd 20 februari 2006 11:48
Voor een hacker die met het dilemma zit van een keuze tussen "het goede doen en arm blijven" of "geld verdienen en risico lopen bestraft te worden" zou het wel eens genoeg kunnen zijn om toch maar op veilig te spelen, óók als kwaadwillenden meer betalen.

Wat is het probleem ervan als Microsoft op deze manier éérder alle lekken moet dichten?

Een kwaadwillende hacker zal het lek dat hij gevonden heeft niet openbaar maken, dus hoe eerder een ándere hacker hetzelfde lek vind en laat repareren, hoe minder tijd de kwaadwillende hacker heeft om er onopgemerkt gebruik van te maken.
a.prinsen @Verwijderd21 februari 2006 15:36
Naar mijn weten is er niets illegaals aan het verkopen van informatie over een bug van een applicatie / OS.

Het misbruiken ervan en schade berokkenen bij bedrijven en individuen is wel strafbaar!

Het schanteren van bedrijven / dreigen gebruik te maken van die bug is ook strafbaar..
donut 20 februari 2006 11:48
Als 95% van de computers afhankelijk is van Windows programmatuur en het blijkt dat het niet geheel veilig is en bovendien Microsoft zelf niet voldoende doet om de beveiliging te verbeteren, dan is het alleen maar logisch dat dit soort initiatieven ontstaan.
De manier waarop kan je betwisten; Microsoft kan dezelfde taktiek volgen en ook beloningen gaan uitloven, dat zou vanuit hun standpunt geen gek idee zijn.
Verwijderd 20 februari 2006 13:52
tja, vervelend wanneer je fouten aan het licht komen. Dan wordt je ineens gedwongen om er wat aan te doen. En wordt al je marketing teniet gedaan doordat alle publicaties over veiligheid door dit soort ongewenste publicaties tenietgedaan worden.

Het doet me denken aan een inbreker die niet van buitenverichting houd.
Milt 20 februari 2006 12:47
Ik vind het maar een goedkope marketing stunt van iDefense...
Verwijderd @Milt20 februari 2006 12:56
Eigenlijk had Microsoft zelf zoiets moeten doen. Dan zouden ze laten zien dat het ze wel degelijk wat uitmaakt dat hun product zo weinig mogelijk fouten bevat. Ze komen voor mij meer over van we weten dat we software leveren als een vergiet maar willen liever zoveel mogelijk verdienen dan een zo veilig mogelijk product afleveren dus stoppen we liever alles in de doofpot om zo de gaten niet te hoeven dichten
Verwijderd @Verwijderd20 februari 2006 15:26
Juist, dat vind ik ook... Ik vind het echt jammer dat MS er soms lang doet om een patch uit te brengen en dit soms helemaal niet doet, tenzij er druk op komt te staan door een publicatie in de media.. Kijk maar naar die USB bug, die heeft ook geen hoge prioriteit gekregen.. Niet echt kritiek, maar wel lastig..
Op deze manier verdienen de ontwikkelaars aan hun ontdekking en Microsoft wordt gedwongen kritisch naar de bug te kijken en daar eventueel iets aan te doen als het vuur te heet aan de schenen wordt..
Ze moeten echter wel 1 lijn trekken door ook software van andere partijen dan MS in hun programma op te nemen..

Edit: Ik bedenk me nog wat: MS kan die website natuurlijk ook zien als een database met open sollicitaties.. :P
Countess 20 februari 2006 11:42
lol
plaatje is goed gevonden :D
zal de beloning van iDefense de prijs alleen maar verder opdrijven en daarmee de deelname van hackers aan dit lucratieve circuit aantrekkelijker maken.
maar van de andere kant, als het duurder word zijn er weer minder mensen bereid om die prijs ervoor te betalen.
door hogeren prijzen kan het goed zijn dat er dus ook minder "bugs" worden verkocht.
Verwijderd @Countess20 februari 2006 15:52
Tsjah... zou UV licht ook helpen tegen softwarebugs??? :P
jGS 20 februari 2006 11:56
Idefense maakt de lekken pas publiek bekend nadat de maker een patch ter beschikking heeft gesteld.
Dit lijkt me wel verantwoord tov mensen die bugs gaan vinden en effectief gaan gebruiken voor er een patch beschikbaar is.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq