Tippingpoint will das Auffinden von Lücken in Fremdprodukten belohnen

Die 3Com-Tocher Tippingpoint will das Auffinden von Sicherheitslücken in Produkten aller Hersteller künftig finanziell belohnen. Das Unternehmen will auf Basis der Informationen die hauseigene Intrusion Detection-Software updaten, um einen Exploit zu verhindern, bis ein Patch veröffentlicht wurde.

„Wir wollen unabhängige Forschung im Bereich Security belohnen und fördern, die verantwortungsvolle Veröffentlichung von Lücken promoten und 3Com-Kunden mit dem besten Schutz versorgen“, so David Endler, Director of Security Research bei Tippingpoint.

Das Unternehmen aus Texas verkauft Intrusion Detection-Systeme, die gegen Sicherheitslücken auf Servern, Desktops und anderen vernetzen Geräten wirken sollen. Die Zahlungen für gefundene Bugs sollen im Rahmen der „Zero Day Initiative“ gewährt werden, die am heutigen Montag in Las Vegas vorgestellt wird.

Wird über eine eigens dafür eingerichtete Website eine Lücke gemeldet, macht Tippingpoint ein Angebot, dessen Höhe von der Tragweite des Problems abhängig ist. Nachdem der eigene Kundenstamm geschützt ist, sollen die Daten auch an andere Hersteller von Intrusion Detection-Systemen weitergegeben werden. Wie groß diese Verzögerung sein wird, ist bislang nicht bekannt.

Mit der Zero Day Initiative adressiert Tippingpoint zwei Entwicklungen, die in letzter Zeit deutlich geworden sind. So wird die Zeit zwischen dem Auftauchen einer Sicherheitslücke und einem funktionierenden Exploit immer kürzer und Spezialisten lassen sich zunehmend mit finanziellen Anreizen ködern. Endler sagte in diesem Zusammenhang, dass Tippingpoint nur mit „angesehenen Forschern zusammenarbeiten will, keinesfalls aber mit kriminellen Hackern.