Geld für Bugs
26.07.2005
Herausgeber: netzeitung.de
Das amerikanische Security-Unternehmen Tipping Point hat eine großangelegte Kampagne zum Auffinden von Sicherheitslücken gestartet. Die so genannte «Zero Day Initiative» will denjenigen Geld zahlen, die Fehler in bekannten Betriebssystemen, Programmen und Netzwerkgeräten entdecken. Bis zu 50.000 Dollar im Jahr sollen sich so verdienen lassen, außerdem werden Reisen zu Sicherheitskonferenzen in Las Vegas ausgelobt.
«Zero Day Initiative»Tipping Point, eine Abteilung des Netzwerkgeräteherstellers 3com, will das gegen Geld erworbene Wissen über Sicherheitslücken aber nicht für sich behalten: Statt dessen sollen die Fehler geschützt an die Hersteller weitergeleitet werden, damit sie behoben werden können, bevor sie weitläufig bekannt sind.
Beruf FehlerjägerGleichzeitig soll eine Filtersoftware des Herstellers an die jeweils entdeckte Sicherheitslücke angepasst werden, damit Tipping Point-Kunden sich schützen können. Später wird die Lücke dann auch an andere Sicherheitsfirmen übermittelt, bevor die Öffentlichkeit informiert wird.
Wie viel Geld eine Sicherheitslücke wert ist, handelt Tipping Point direkt mit dem Entdecker aus - er überträgt seine Informationen an die Firma, die ihm dann ein Angebot macht. Wird es angenommen, schickt Tipping Point das Geld - beispielsweise per Paypal. Wenn der Experte es wünscht, kann er schleßlich auch anonym bleiben. Zentraler Punkt ist allerdings, dass die Information exklusiv an Tipping Point übertragen wird - anderswo darf sie nicht veröffentlicht werden.
Die Tipping-Point-Idee ist nicht neu - Konkurrenzfirmen wie iDefense oder Software-Projekte wie die Mozilla-Stiftung zahlen bereits Geld für Fehler in Programmen. Die Summen, die Tipping Point auszahlen will, sind bislang allerdings einmalig - damit könnte das Fehlerjagen zum Beruf werden.
Für das Web ediert von Ben Schwan