Mozilla: Hackers belonen is noodzaak
Het betalen van hackers voor het rapporteren van beveiligingslekken is essentieel om zowel software als gebruikers te beschermen, aldus browserontwikkelaar Mozilla. Het bedrijf beloont beveiligingsonderzoekers sinds 2004 voor gevonden bugs. Ook andere partijen als Google geven hackers een financiële vergoeding. "We kopen niet het stilzwijgen van een onderzoeker, we geven een beloning voor constructief beveiligingsonderzoek," zegt Lucas Adamski van Mozilla.
Hij merkt op dat onderzoekers hun bugs en exploits via ondergrondse markten kunnen verkopen. Daar worden onderzoekers betaald zolang hun lek onopgemerkt blijft, wat de kans verkleint dat een leverancier het lek ook ontdekt en kan oplossen. Daarnaast betalen deze ondergrondse markten voor volledig werkende exploits, wat vaak meer werk is dan het vinden van alleen een lek.
Essentieel
Volgens Adamski hebben deze ontwikkelingen gevolgen voor softwareontwikkelaars. "Je kunt niet langer verwachten dat een zero-day wordt verzilverd via rootkits die over het internet worden verspreid, wat de leverancier op het probleem wijst en een oplossing mogelijk maakt. Alles wordt gedaan om deze bugs zolang als mogelijk te verbergen, wat betekent dat een snelle respons niet langer meer een adequate primaire strategie is."
Adamski vindt dat leveranciers allerlei middelen moeten inzetten om problemen proactief te vinden en op te lossen. "En niet met het patchen van bugs wachten in de valse veronderstelling dat niemand anders ze zal ontdekken." Een beloningsprogramma is volgens Adamski een essentieel onderdeel van die strategie bij Mozilla, omdat het de kans op het vinden van een lek vergroot.
Zeker op een forum dat rond security draait zijn zo'n statements nogal frapant en irritant imho ....
Overigens toont de hoeveelheid bedrijven die deze strategie hebben overgenomen genoeg aan hoe goed dit werkt.
Keep it up Mozilla !
Het is een andere strategie. Microsoft heeft onderzoekers in dienst of huurt ze in, om dit te doen. Ik snap wel dat je er dan niet zo happig op bent om diezelfde mensen per lek te betalen als ze hetzelfde werk vanuit huis onder eigen vlag zouden doen.
Ik heb er wat dubbele gevoelens over. Het is eerbaar wanneer je toevallig of gericht tegen een lek aan loopt om dit te melden aan de leverancier en als leverancier is het netjes om mensen die de problemen aan jou melden, te bedanken. En een bedankje mag best wat kosten als het een flinke gunst was.
Maar ik denk niet dat het standaard moet zijn. Tenzij het goedkoper is om te bezuinigen op je eigen testers en de lekken door de rest van de wereld te laten vinden.
Als je rijk wordt van het doorverkopen van lekken aan mensen die er kwade bedoelingen mee hebben, ben je gewoon een crimineel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.