Hoe een bug officieel een bug wordt

De meeste bugs worden namelijk gevonden door beveiligingsonderzoekers; white hat hackers die in vaste dienst zijn voor bedrijven, of als een soort premiejagers hun bevindingen verkopen aan applicatiebeveiligers.

Peter Vreugdenhil is zo iemand. Hij is een in Nijmegen gebaseerde freelance beveiligingsonderzoeker die zijn resultaten doorgeeft aan onder andere iDefense en het Zero Day Initiative van Tipping Point. Hij is voornamelijk gespecialiseerd in browsers en applicaties die de browsers aanspreken. "Zo ben ik onder andere ook bezig met Media Player en Java."

Vreugdenhil heeft bijna drie jaar geleden een parttime baan gemaakt van het bugjagen. Van huis uit is hij programmeur, en voordat hij met 'het zware werk' bezig ging, concentreerde hij zich vooral op het blootleggen van gaten in php-applicaties, "voor de lol".

"Op dit moment spendeer ik drie dagen per week fulltime aan het opsporen van bugs in applicaties", zegt Vreugdenhil. "De overige twee werk ik als programmeur voor een bedrijf dat webwinkels in elkaar zet. Die twee probeer ik strikt gescheiden te houden." Om van het bugjagen te kunnen leven, probeert Vreugdenhil ongeveer één groot gat per maand te vinden. Dat lukt vaak wel. "Nu ben ik bijvoorbeeld een beetje met Java aan het klooien, en daar vond ik twee relatief grote gaten binnen twee weken", zegt Vreugdenhil. Nu haalt hij gemiddeld een groot gat per twee a drie weken.

Patch Tuesday

Deze week nog stond Vreugdenhil bij de credits van Microsofts Patch Tuesday, waarbij hij (mede)verantwoordelijk was voor het rapporteren van twee van de lekken die afgelopen dinsdag zijn gedicht in de Webcomponenten voor Microsoft Office. Office Web Components (OWC) is een set ActiveX-controls waarmee gebruikers Officedocumenten online kunnen publiceren, en/of aan kunnen roepen met de browser.

De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.