Immer wieder entdecken findige Menschen Sicherheitslücken in populärer Software, wie z.B. bei Vista, Linux und Co. Ehrliche Finder melden diese Lücke an den Softwareanbieter und erhalten manchmal nur einen “warmen Händedruck” oder ein kleines “Taschengeld” als “Finderlohn”. Eine andere Möglichkeit besteht darin, diese Sicherheitslücken an spezielle Firmen, wie z.B. iDefense oder TippingPoint, zu melden. Bei iDefense erhält man z.B. bis zu 8.000 EUR, wenn man eine Sicherheitslücke in der VISTA-Software findet. Das ist auf jeden Fall mehr als ein Trinkgeld. Allerdings werden auf dem “Internet-Schwarzmarkt” bis zu 50.000 EUR für die exklusive Meldung solcher Lücken geboten. Jedoch haben diese Bieter nicht immer seriöse Absichten, sondern wollen diese Lücken mit krimineller Absicht ausnutzen, bis sie von anderen entdeckt wurden. Das dauert durchschnittlich ein Jahr.
Jetzt gibt es Schweizer Unternehmer, die eine Auktionsplattform für Software-Sicherheitslücken aufgebaut haben. Hier können Computerfreaks, Hacker und IT-Spezialisten, die Sicherheitslücken entdeckt haben, ihre Informationen über diese neue Plattform meistbietend versteigern. Ziel dieser neuen Plattform ist es, dass Sicherheitsforscher einen fairen Preis für ihre Informationen bekommen und die Informationen nicht mehr verschenken oder an dubiose Anbieter verkaufen müssen. In der Anlaufphase werden noch keine Einstellgebühren verlangt. Bis jetzt konnten schon mehrere Investoren gewonnen werden, die für den Aufbau dieser Plattform eine siebenstellige Summe zur Verfügung gestellt haben. Gelesen in heute.de.
Die Idee dieser Auktionsplattform ist grundsätzlich nicht schlecht, allerdings entsteht nur ein fairer Preis bei einer großen Anzahl von Nachfragern. Und hier liegt der Haken. Denn es gibt nur einen, der ein seriöses Interesse an diesen Informationen haben kann, nämlich der Softwareanbieter selber. Und somit sind derzeit auch nur wenige Angebote in der Plattform eingestellt und die gebotenen Preise sind noch sehr bescheiden. Deshalb glaube ich, dass eher Unternehmen wie iDefense & Co., die gute Preise für ihre Arbeit erhalten, verstärkt Crowdsourcing-Konzepte entwickeln sollten, um externe Experten in die Arbeit einzubinden.
Like
[…] YouTube Link to Article linux Mit dem Entdecken von Software-Sicherheitslücken kann man gutes Geld verdienen » Posted at http://www.best-practice-business.de/blog on Tuesday, July 17, 2007 Immer wieder entdecken findige Menschen Sicherheitslücken in populärer Software, wie z.B. bei Vista, Linux und Co. Ehrliche Finder melden diese Lücke an den Softwareanbieter und erhalten manchmal View Entire Article » […]
[…] Doch wer sollte dort mitbieten? Außer für den Hersteller der Software sind diese Informationen nur für jemanden interessant der sich über einen Trojaner ein Botnetzwerk aufbauen möchte (z.B. für DDoS Attacken oder Fake-Visits/Clicks). Und Sicherheitslücken in Webservern (Apache, ISS) und Internetsoftware (Foren, Blogs, CMS, Wikis) könnten Spammer ausnutzen. […]
[…] […]
[…] von Software-Sicherheitslücken kann man gutes Geld verdienen. Das war die Überschrift meines Blogartikels im Juli 2007. Damals habe ich aufgezeigt, dass neben Softwarefirmen und Social Networks auch […]
[…] Mit dem Entdecken von Software-Sicherheitslücken kann man gutes Geld verdienen […]
[…] Mit dem Entdecken von Software-Sicherheitslücken kann man gutes Geld verdienen […]
[…] Mit dem Entdecken von Software-Sicherheitslücken kann man gutes Geld verdienen […]
[…] Mit dem Entdecken von Software-Sicherheitslücken kann man gutes Geld verdienen […]
[…] Mit dem Entdecken von Software-Sicherheitslücken kann man gutes Geld verdienen […]
[…] Mit dem Entdecken von Software-Sicherheitslücken kann man gutes Geld verdienen […]