Det er blevet en god forretning at være dusørjæger på internettet
Private virksomheder overbyder Apple og Microsoft for at få indblik i fejl i softwaren. Det kan give sikkerhedsproblemer, mener ekspert.
Det kan godt betale sig at være lidt nørdet.
Tidligere på måneden afslørede Apple sit nye dusørprogram, som vil belønne personer, der kan finde fejl i virksomhedens software. Dusørerne vil ligge i størrelsesordenen mellem 25.000 dollar og 200.000 dollar, hvilket svarer til mellem 160.000 kr. og 1,3 mio. kr.
Nu har den Texas-baserede virksomhed Exodus Intelligence imidlertid overbudt Apple. Virksomheden er villig til at betale 500.000 dollar - eller 3,3 mio. kr. - for viden om sårbarheder i iOS.
Exodus Intelligence tilbyder også op til 125.000 dollar til dem, der kan finde fejl i Microsofts browser Edge. Microsoft selv tilbyder kun 1.500 dollar i dusør.
Det er en udfordring på mange måder, siger Peter Kruse, som er stifter af it-sikkerhedsvirksomheden CSIS.
»Mange af dem, der finder fejl, gør det på hobbyplan, fordi det er spændende og udfordrende. Det farlige er, at der er vokset et marked frem, hvor priserne på at finde fejl i software er steget eksplosivt. Hvis man finder en sårbarhed i iPhone, kan man gå ud på det sorte marked og sælge det for over 1 mio. kr., hvor man vil få en mere symbolsk, beskeden sum hos Apple,« siger han.
De høje dusører skal tilskynde de sikkerhedseksperter og venligtsindede hackere, der støder på fejl, til kun at dele deres resultater med Exodus Intelligence, der sælger sin viden videre til sine kunder gennem en abonnementordning.
Men selvom sådanne etablerede virksomheder måske gør handlen lidt mere gennemsigtig, er de med til at presse prisen yderligere op på mere tvivlsomme undergrundsmarkeder, mener Peter Kruse.
Han kender bl.a. eksempler på sårbarheder, der er blevet sat til salg på russiske undergrundsmarkeder, og som man har observeret er blevet brugt i angreb et halvt år senere.
»Afhængig af moralen hos dem, der finder fejlene, kan man godt blive fristet af udsigten til at kunne tjene 1 mio. kr. og tænke, at det ikke er ens problem, at it-kriminelle eller efterretningstjenester vil bruge informationen til at bryde ind i systemer, stjæle data og lave uautoriserede transaktioner i centrale systemer,« siger han.
