Å avdekke sårbarheter er en sentral del av forretningsmodellen til sikkerhetsselskapet iDefense. I fjor kunngjorde de 150 ulike sårbarheter i kurant programvare. 11 av disse gjaldt produkter fra Microsoft, hvorav tre fikk status som «kritiske». Kriteriet for «kritisk» er at sårbarheten kan utnyttes til å lage en orm som sprer seg uten aktiv medvirkning fra offeret.
For å supplere arbeidet til sine egne eksperter, har iDefense lansert en kompensasjonsordning for frivillig ekstrahjelp, døpt Vulnerability Contributor Program (VCP). Ordningen kompenserer hackere som melder fra til iDefense om sårbarheter de finner.
I inneværende kvartal, det vil si fram til 31. mars, tilbyr iDefense en ekstra dusør på 10 000dollar til den som avdekker en sårbarhet i et Microsoft-produkt, på den betingelsen at Microsoft erkjenner at sårbarheten er «kritisk».
iDefense holder seg til regelen om at leverandøren skal varsles om sårbarheter, og at sårbarheten skal holdes skjult for offentligheten helt til en fiks er klar – innen en rimelig tidsfrist.
Microsoft stiller seg kritisk til dusøren. I en uttalelse til eWeek heter det at å betale for informasjon om sårbarheter «ikke er den beste måten» for sikkerhetseksperter å bidra til å verne kundene.
iDefense peker på at Microsoft tilbyr 250 000 dollar til informasjon som kan bidra til at virusmakere arresteres, og stiller seg uforstående til at man ikke vil gå med på en dusørordning som kan bidra til å hindre at virus oppstår.
Fra uavhengig hold kritiseres iDefense-dusøren fordi den bidrar til å overfokusere på en bestemt leverandør, og fordi den kan bidra til en situasjon der sårbarheter kan misbrukes til å manipulere aksjekursen.
Les også:
- [15.01.2007] Tilbyr dusør for sårbarheter i Vista
- [03.02.2006] Solgte innbruddskode til adware
- [20.09.2005] Mozilla bekrefter flest sikkerhetshull
- [29.08.2005] Ny type hull oppdaget i Windows
- [18.08.2005] Kritisk sårbarhet i Internet Explorer
