Bedrijf biedt $20,000 voor Windowsgaten
Gepubliceerd: Woensdag 16 januari 2008
Auteur: Peter van der Ploeg
Een beveiligingsconsultancy biedt 20.000 dollar (bijna 13.500 euro) voor informatie over nieuwe, ongepatchte exploits in Microsoft Windows.
Digital Armaments, een bedrijf dat geen telefoonnummer of adres op haar website vermeldt (maar de website is geregistreerd vanuit Toronto), biedt het geld als onderdeel van een 'Hacker's Challenge' die duurt tot 29 februari middernacht. Het bedrijf zoekt ook naar lekken in wat het bedrijf noemt 'Windows Diffuse Applications', waarmee het waarschijnlijk doelt op applicaties die met Windows gebundeld zijn.
Technici die voor het geld in aanmerking willen komen moeten een werkend voorbeeld geven van de exploit(s) inclusief documentatie, zo beweert de firma op haar website, die overigens vol spelfouten staat.
Legale arbeid, illegale spionage
Er zijn geen wetten die de aankoop van exploits verbieden. De praktijk is echter controversieel binnen het security wereldje, omdat de gegevens dan eenvoudig in verkeerde handen kunnen vallen. Onderzoekers worden daarom geacht hun bevindingen gratis aan de ontwikkelaar te melden. Daarmee bouwen zij een reputatie op, waarmee zij zich bij werkgevers in de kijker spelen.
Digital Armaments is niet de eerste onderneming die geld biedt voor informatie van beveiligingslekken. Zowel de Mozilla Corporation als Tipping Point hebben in het verleden betaald voor informatie over kritische gaten.
Het Zwitserse WabiSabiLabi ging vorig jaar nog een stap verder toen het een veilingsite opende waar onderzoekers veiligheidslekken aan de man kunnen brengen. Ondanks zware kritiek voerde bedrijf aan dat de veilingsite een betere oplossing zou zijn de zwarte markt.
Overigens werd een mede-oprichter van WabiSabiLabi, Roberto Preatoni, in november vorig jaar nog opgepakt vanwege een spionageschandaal in Italië. Dit zou niets te maken hebben met zijn werk bij WabiSabiLabi, maar met zijn andere werkzaamheden als beveiligingsconsulent.
Microsoft heeft het liever niet
Microsoft, wiens exploits normaal gesproken hoog in de belangstelling staan, meent dat onderzoekers discreet melding zouden moeten maken van veiligheidsrisico's zodat gebruikers geen risico lopen. In het algemeen weigeren bedrijven te betalen voor ontdekte exploits.
Digital Armaments meldt op hun website dat het research team in 2003 is opgericht. De firma zou later dit jaar in de VS kantoren willen openen.
Ook betaling in aandelen
Naast het betalen van geld voor exploits biedt Digital Armaments ook betaling in aandelen, of in krediet dat kan worden ingewisseld voor aandelen. De onderneming reageerde niet op emails met een verzoek om aanvullende informatie.
