Einen interessanten Wettbewerb hat die IT-Sicherheitsfirma Verisign iDefense gestartet: Die ersten sechs Fachleute, die dem Unternehmen eine Sicherheitslücke in »Windows Vista« oder dem »Internet Explorer 7« melden, erhalten eine Prämie.

Die Teilnehmer müssen ein Sicherheitsloch in einem der beiden Programme ausfindig machen, mit dessen Hilfe ein Angreifer eigenen Code auf einem fremden Rechner ausführen könnte. Als Testobjekt dient ein voll gepatcher »Vista«-PC.

Den Gewinnern winkt eine Prämie in Höhe von 8000 Dollar. Weitere 2000 bis 4000 Dollar können sich Experten hinzu verdienen, die gleich einen passenden »Exploit« für die Schwachstelle mitliefern. Die Teilnehmer haben bis zum 31. März Zeit, ihre Beiträge einzureichen.

Neben iDefense lobt auch die 3Com-Tochter Tipping Point Preise für das Melden von Sicherheitslöchern in Software aus. Nach Angaben von Frederick Doyle, dem Forschungsdirektor von iDefense, hat diese Taktik als erfolgreich erweisen. »Jede vierte Schwachstelle, die Microsoft im Juni beseitigte, wurde von einem Prämienjäger entdeckt.«

Von Konkurrenten mussten iDefense und Tipping Point für ihr Vorgehen allerdings Kritik einstecken. Sie bemängeln, dass durch die »Wettbewerbe« Hacker angestachelt würden, auf die Jagd nach Sicherheitslöchern zu gehen.

Frederick Doyle hält dagegen, dass Sicherheitsexperten erfahrungsgemäß auch dann nach Schwachstellen in Programmen suchen würden, wenn sie dafür kein Geld erhielten.

Microsoft reagierte auf die jüngste Ankündigung von iDefense gelassen. Das Unternehmen habe nichts gegen solche Aktionen. Allerdings müssten sich die Teilnehmer an die Regeln einer »Responsible Disclosure« halten.

Darunter versteht Microsoft, dass eine Sicherheitslücke in einem Produkt des Herstellers erst dann publik gemacht werden dürfe, wenn bereits ein Patch dafür vorliegt.

Verisign iDefense

iDefense Labs

www.tippingpoint.com