te zijn. Beveiligingsbedrijven bieden zo ongeveer tegen elkaar op om
informatie over nieuwe softwarelekken in handen te krijgen, en
uiteraard exclusief. Zo verdubbelt beveiligingsspecialist iDefense
(dochter van VeriSign) de beloning voor onderzoekers die een nieuwe bug
melden. Hackers of onderzoekers die regelmatig nieuwe bugs melden
kunnen hun beloning vergroten. Daarnaast kan als het aantal bugs dat
gemeldt wordt groter is dan het jaar ervoor een bonus worden toegekend.
iDefense verhoogde haar tarieven nadat grote concurrent TippintPoint
(dochter van 3Com) startte met het betalen van tipgeld aan ontdekkers
van veiligheidslekken. Bedrijven proberen door exlusiviteit te bedingen
elkaar de loef af te steken met beveiligingsoplossingen die zoveel
mogelijk lekken dichten, voordat de leverancier van de software een
officile patch heeft uitgebracht. Bedragen die er in omgaan zijn niet
bekend, maar het is mogelijk om verantwoorde schattingen te doen.
De Franse beveiligingsexpert Gael Delalleau
verkocht eerder informatie aan iDefense. Het bedrijf betaalt volgens
hem gewoonlijk tussen de 300 en 1000 dollear (250 – 835 Euro) aan
tipgevers, uiteraard afhankelijk van de ernst van het lek. Een niet
eerder ontdekte bug is dus nu ongeveer 2000 dollar waard. Delalleau is
blij met de ontwikkeling (zijn inkomen wordt hierdoor uiteraard hoger),
maar niet iedereen is er gelukkig mee. Ook cybercriminelen betalen
namelijk grote sommen geld voor informatie over softwarekwetsbaarheden.
Sommige experts
vrezen dat de ontdekkers van bugs met hun informatie zullen rondleuren
totdat de hoogstbiedende partij (crimineel of niet) de informatie
krijgt. Anderen hekelen weer de dubbelzinnige positie van de
beveiligingsbedrijven. Ze beloven de informatie door te spelen aan aan
de makers van de software, maar niet iedereen is daar gerust op. Hun
voortbestaan is immers gebaat met kewetsbaarheden in andermans software.
