Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 30 reacties
Bron: eWeek

Het initiatief van iDefense om klokkenluiders van kritieke bugs in Windows te belonen met een bonus van tienduizend dollar, heeft weinig prijzende woorden opgeleverd vanuit Redmond. 'We geloven niet dat het aanbieden van een vergoeding voor informatie over kwetsbaarheden de beste manier is waarop onderzoekers kunnen helpen bij het beschermen van gebruikers', aldus een woordvoerder van Microsoft. De softwarefabrikant is van mening dat de beste methode om misbruik van gevoeligheden in het besturingssysteem tegen te gaan, is om de informatie hierover pas te publiceren wanneer er een patch beschikbaar is. Volgens de directeur van iDefense, Michael Sutton, helpt het beloningsmodel juist om informatie over bugs uit de handen van kwaadwillenden te houden.

iDefense logoHet plan van iDefense loopt tot 31 maart 2006 en bestaat uit twee beloningsonderdelen. Mensen die een kwetsbaarheid insturen, krijgen standaard een vergoeding van iDefense. Als later blijkt dat Microsoft de bug als kritiek bestempelt, dan wordt deze vergoeding verhoogd met tienduizend dollar. Vorig jaar wist het in 1998 opgerichte dochterbedrijf van VeriSign totaal honderdvijftig kwetsbaarheden te publiceren, waarvan er elf Microsoft-producten betroffen. Drie daarvan kregen later het label 'kritiek' mee. De achterliggende bedrijfsfilosofie is dat het oneerlijk is om mensen die helpen met het verbeteren van een product, niet te belonen. iDefense is niet de enige partij die deze opvatting aanhangt: ook 3Coms Tipping Point-afdeling koopt informatie over veiligheidslekken op in zijn Zero Day-initiatief.

'Bug race (klein)'Naast kritiek van Microsoft op het iDefense-initiatief, klinken er ook afkeurende geluiden uit een ander kamp. Een technisch manager van de National Vulnerability Database van de National Institute of Standards and Technology (NIST) is van mening dat door dit beloningsmodel onevenredig veel aandacht uit zal gaan naar weeffouten in Microsoft-producten. In het licht van de tendens om bugs te verkopen aan misbruikers, zal de beloning van iDefense de prijs alleen maar verder opdrijven en daarmee de deelname van hackers aan dit lucratieve circuit aantrekkelijker maken. Ook zou de toegenomen aandacht voor de problemen van een product de aandelen van het bijbehorende moederbedrijf negatief kunnen beďnvloeden.

Bug Hunter
Moderatie-faq Wijzig weergave

Reacties (30)

Je moet natuurlijk wel onderscheid maken tussen het zoeken naar bugs en het publiceren van bugs, vooral voordat er een patch voor is gekomen. Dat dat laatste door iDefense gedaan wordt zie ik niet uit het bericht naar voren komen.
het publiceren is eerder een druk middel om MS te dwingen wel een probleem op te lossen. MS staat erom bekend problemen die zij als 'niet-kritiek' bestempelen naast zich neer te leggen ondanks dat deze fout al ruim een jaar open staat.
Beetje dubbel gevoel hierbij. Aan de ene kant natuurlijk goed. Op deze manier is het voor een hacker interresant om zijn gevonden lek te 'verkopen' en daarmee ook het lek te dichten. Op die manier is het minder lucratief om het illegale circuit in te duiken.

Maar ja, het nodigt ook uit om extra hard op zoek te gaan natuurlijk, waardoor er bugs aan het licht komen die anders verborgen bleven (alhoewel, is dat een slecht ding?) en je genereert extra aandacht voor een product en dat kan onevenredig komen te staan met verkeerde aandacht voor andere producten.

edit ---note to my self...sneller leren typen ;-)
pijnlijk zou zijn als een hacker de site van iDefence zou aanvallen en direct alle gevonden bugs te pakken krijgt.
heeft ie wel een lekker zak centje ;)
Ik heb er een beetje gemengde gevoelens in, maar denk dat de filosofie er achter wel erg goed is en ook daadwerkelijk zijn vruchten af kan werpen. Alleen moet je denk ik geen verschil maken met de producten van Microsoft.
Het helpt in ieder geval om eerlijke mensen eerlijk te houden. Nu heeft een programmeur die een fout vindt, alleen de keuze om die fout aan MS bekend te maken. MS maakt dan wellicht een patch een maakt er vervolgens goede sier mee (weer een security bug gepatched!). Winst voor de persoon die de fout rapporteerde is geheel niets. Het is voor een ontwikkelaar die een security bug ontdekt dan wel heel aantrekkelijk om eventueel via een tussenpersoon de informatie in het criminele circuit te verkopen. Nu kan je als eerlijke ontwikkelaar (en dat zijn er toch echt de meeste), tenminste nog iets verdienen aan je ontdekking. Bij Mozilla zie je vaak dat winnaars van een dergelijke security aanmeldingsbonus hun prijs vervolgens doneren aan een open source project.
De prijs van een crack in het criminele circuit heeft waarschijnlijk z'n eigen dynamiek en zal hooguit in mindere mate bepaald worden door de vergoeding voor een legale aanmelding van de vulnerability.
Overigens, zou iDefense ook een verantwoordelijke methode kunnen hanteren om bugs te publiceren, zodat de klachten van MS wel erg gezocht aandoen.
Zo worden bugs wel big cash....
Verkoop hem eerst aan andere hackers etc meld hem tegelijk aan bij idefense, en als je eerste klantjes goed hun werk doen krijg je een bonus van 10.000 dollar....
Zou de opbrengst voor Linuxbugs net zo hoog liggen of gaat deze rare regel alleen op voor MS bugs. In dat laatste geval is de belangentegenstelling wel groot.
Microsoft of niet, het maakt niet uit. Ik ben er volledig tegen. Een ander bedrijf heeft niet het recht, naar mijn mening, om beloningen uit te loven als je een bug ontdekt.

Dat zou voor mij hetzelfde zijn als mensen geld gaan geven om een product van iemand anders slecht aan te prijzen...
Het idee is juist niet het slecht aanprijzen, maar juist het bijdragen aan de "perfectionering van software" Alleen zouden normaal bedrijven dit zelf moeten doen en dan eigenlijk zelf moeten zorgen voor een beloning voor de aanmelder van de bug.
Voor een hacker die met het dilemma zit van een keuze tussen "het goede doen en arm blijven" of "geld verdienen en risico lopen bestraft te worden" zou het wel eens genoeg kunnen zijn om toch maar op veilig te spelen, óók als kwaadwillenden meer betalen.

Wat is het probleem ervan als Microsoft op deze manier éérder alle lekken moet dichten?

Een kwaadwillende hacker zal het lek dat hij gevonden heeft niet openbaar maken, dus hoe eerder een ándere hacker hetzelfde lek vind en laat repareren, hoe minder tijd de kwaadwillende hacker heeft om er onopgemerkt gebruik van te maken.
Naar mijn weten is er niets illegaals aan het verkopen van informatie over een bug van een applicatie / OS.

Het misbruiken ervan en schade berokkenen bij bedrijven en individuen is wel strafbaar!

Het schanteren van bedrijven / dreigen gebruik te maken van die bug is ook strafbaar..
Als 95% van de computers afhankelijk is van Windows programmatuur en het blijkt dat het niet geheel veilig is en bovendien Microsoft zelf niet voldoende doet om de beveiliging te verbeteren, dan is het alleen maar logisch dat dit soort initiatieven ontstaan.
De manier waarop kan je betwisten; Microsoft kan dezelfde taktiek volgen en ook beloningen gaan uitloven, dat zou vanuit hun standpunt geen gek idee zijn.
tja, vervelend wanneer je fouten aan het licht komen. Dan wordt je ineens gedwongen om er wat aan te doen. En wordt al je marketing teniet gedaan doordat alle publicaties over veiligheid door dit soort ongewenste publicaties tenietgedaan worden.

Het doet me denken aan een inbreker die niet van buitenverichting houd.
Ik vind het maar een goedkope marketing stunt van iDefense...
Eigenlijk had Microsoft zelf zoiets moeten doen. Dan zouden ze laten zien dat het ze wel degelijk wat uitmaakt dat hun product zo weinig mogelijk fouten bevat. Ze komen voor mij meer over van we weten dat we software leveren als een vergiet maar willen liever zoveel mogelijk verdienen dan een zo veilig mogelijk product afleveren dus stoppen we liever alles in de doofpot om zo de gaten niet te hoeven dichten
Juist, dat vind ik ook... Ik vind het echt jammer dat MS er soms lang doet om een patch uit te brengen en dit soms helemaal niet doet, tenzij er druk op komt te staan door een publicatie in de media.. Kijk maar naar die USB bug, die heeft ook geen hoge prioriteit gekregen.. Niet echt kritiek, maar wel lastig..
Op deze manier verdienen de ontwikkelaars aan hun ontdekking en Microsoft wordt gedwongen kritisch naar de bug te kijken en daar eventueel iets aan te doen als het vuur te heet aan de schenen wordt..
Ze moeten echter wel 1 lijn trekken door ook software van andere partijen dan MS in hun programma op te nemen..

Edit: Ik bedenk me nog wat: MS kan die website natuurlijk ook zien als een database met open sollicitaties.. :P
Is er een marktwaarde te hangen aan bugs, afhankelijk van het geraakte product?

Is een gevonden Microsoft Bug zo veel meer waard omdat er niet meer zo veel te vinden zijn?
... of omdat een bug in MS software een impact heeft op zoveel mensen/bedrijven dat het van belang is dat alle major bugs er zo snel mogelijk uitgehaald worden?

Ik denk dat de laatste verklaren een stuk aannemelijk is (no offense).
Niet echt, een bug kan een leiden tot een exploit die een groot gedeelte van de desktopcomputer kan bereiken (zoals bv Blaster)
lol
plaatje is goed gevonden :D
zal de beloning van iDefense de prijs alleen maar verder opdrijven en daarmee de deelname van hackers aan dit lucratieve circuit aantrekkelijker maken.
maar van de andere kant, als het duurder word zijn er weer minder mensen bereid om die prijs ervoor te betalen.
door hogeren prijzen kan het goed zijn dat er dus ook minder "bugs" worden verkocht.
Tsjah... zou UV licht ook helpen tegen softwarebugs??? :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True