EU fördert Fehlersuche in Open Source Projekten

Wenn man eine Sicherheitslücke in einer bekannten Anwendung findet hat man im Großen und Ganzen zwei Möglichkeiten:

1. Man meldet die Lücke an die verantwortlichen Entwickler.
2. Man verkauft die Lücke auf dem Schwarzmarkt.

Sicherheitslücken in bekannter Software sind für Hacker aller Art ein begehrtes "Handelsgut", insbesondere so genannte "Zero Day Exploits" werden hoch gehandelt und sorgfältig geschützt. Es handelt sich dabei um ausnutzbare Schwachstellen in Programmen, die nicht einmal dem verantwortlichen Hersteller bekannt sind. Damit jetzt nicht jeder Sicherheitsforscher automatisch zu Option Nummer 2) greift zahlen Firmen wie Microsoft, Google, Adobe, ... für gefundene Lücken teilweise beträchtliche Summen. So hat zum Beispiel Microsoft im Sommer 2012 im Rahmen des "Blue Hat Security Contest" 200.000$ an den Doktoranden Vasilis Pappas ausgezahlt.

Und weil hinter Open Source Projekten aller Regel nach keine großen Unternehmen stehen, haben es diese dann doch schwer im Falle von schwerwiegenden Lücken finanziell mitzuhalten. Natürlich sorgt der offene Quelltext für eine potenziell riesige Anzahl von wachsamen Augen, aber eine Sicherheitsgarentie ist das nicht. Und deswegen zahlen einige Firmen und Institutionen quasi stellvertretend Geld für Lücken in Open Source Programmen, welche dort im Einsatz sind. Und im kommenden Jahr beteiligt sich auch die EU an einem solchen Programm. Julia Reda von den europäischen Piraten erklärt in ihrem Blog wie das Programm genau abläuft und welche Projekte unterstützt werden: