Zeven lekken in Chrome gedicht
Vlak voor de start van de securitybeurs Black Hat brengt Google een nieuwe versie van zijn webbrowser uit. Chrome krijgt pleisters op zeven beveiligingslekken in zijn nieuwste stabiele versie. Voor het vinden van de lekken hanteert Google intern een speciaal beloningsysteem.
Google wil de reactietijd van zo’n veiligheidsinterventie voor Chrome drastisch verlagen. Het bedrijf betaalde daarom enkele medewerkers 1.337 dollar voor het vinden van kritieke beveiligingsproblemen. Die kunnen zich manifesteren door zwakke plekken in Windows en de veelgebruikte softwarebibliotheek Glibc, zegt Jason Kersey van Google Chrome in een blogpost.
Het bedrag van 1.337 dollar is een verder betekenisloze, waarschijnlijk grappig bedoelde verwijzing naar de Leet-taal.
[related_article id=”158901″]
Beloningsysteem loont
Googles beleid om het vinden van beveiligingslekken te belonen werpt vruchten af. Werknemers die drie hogeprioriteitslekken vonden, ontvingen een bonus, net als iemand die een minder zwak punt ontdekte. Het ontdekken van problemen met een laag risico leverde helaas geen bonus op.
In juli rommelde het echter in het bonussenbeleid, toen het bedrijf bekendmaakte een bonus van liefst 31.337 dollar uit te loven aan zij die een ernstig beveiligingsprobleem ontdekten. 31.337, dat in de Leet-taal staat voor eleet (elite), is natuurlijk een stuk beter dan het simpele leet van voorheen.
Geen full disclosure
Toch wil Google een andere richting uit dan het betalen van werknemers die lekken vinden: het pleit voor responsible disclosure.
Dat is het melden van een lek aan een softwarefabrikant, die het nieuws dan bekendmaakt wanneer een oplossing klaar is. Het staat in schril contrast met full disclosure, waarbij men het nieuws van een beveiligingslek meteen bekendmaakt.
In dat geval heeft de fabrikant geen tijd om rustig een oplossing te zoeken, maar is de gebruiker wel meteen op de hoogte. Een hacker zou immers het lek kunnen ontdekken en de zwakheden misbruiken voordat de softwarefabrikant een oplossing aanbiedt.
“Wij geloven dat responsible disclosure van twee kanten komt”, zegt Google in een blogpost. “Verkopers en onderzoekers moeten zich verantwoordelijk gedragen. Ernstige problemen moeten relatief snel aangepakt worden. Elk probleem is uniek, maar we geloven dat zestig dagen een redelijke limiet is voor het dichten van lekken in wijdverspreide software.”