De onderzoeksgroep van ‘hackprofessor’ Herbert Bos kreeg 100.000 dollar van chipbedrijf Intel nadat ze een groot lek in de processoren blootlegden. Vorige week kwam het nieuws naar buiten. “Intel wilde dat we nog langer zouden wachten met publiceren, maar wij vonden dat onverantwoord”, zegt Bos.
Bijna 90.000 euro, dat is een flink bedrag.
“Ja, het is een heel grote premie. Die hangt alleen aan heel ernstige lekken. Voor kleine bugs krijg je doorgaans duizend of tweeduizend euro. Die hebben we ook al eens aangenomen. En we hebben ook meerdere afgewezen omdat er nare eisen aan verbonden waren. Daar konden we dan niet mee akkoord gaan.”
Heb je geld afgewezen? Vertel.
“In 2016 ontdekten we bijvoorbeeld een kwetsbaarheid in Microsoft Windows. Toen kwamen we in aanmerking voor een heel grote bounty, 250.000 dollar als ik me niet vergis. We hadden er een paper over geschreven dat we wilden publiceren. Microsoft zei toen: ‘Als jullie dat publiceren, krijgen jullie geen premie. Doe je mee aan de premie, dan kom je te staan op deze prestigieuze lijst met hackers.’ Het is natuurlijk hun geld, dus zij mogen zelf weten wat ze ermee doen. Maar wij gingen er niet mee akkoord.”
Waarom ga je dan niet akkoord? Het is wel heel veel geld.
“De belangen van die bedrijven zijn zo verschrikkelijk groot. Ga maar na op hoeveel pc’s Intel of Windows zit. Maar het gaat om de veiligheid van de mensen die de systemen gebruiken. Daarom is publiceren zo belangrijk. Het is wel gebruikelijk om een termijn af te spreken met bedrijven om ze de kans te geven een fix te maken. Normaliter is dat negentig dagen voor bugs in software. In het geval van Intel hebben we een jaar gewacht, omdat het om een lek in de hardware ging. Dat kun je niet fixen met een simpele update. Intel wilde trouwens dat we nog langer zouden wachten, maar dat vonden wij onverantwoord.”
Wat gaan jullie doen met de premie?
“Daar hebben we het nog niet over gehad. In principe gebruiken we het voor verder onderzoek, conferentiebezoeken of reizen.”
Begroten jullie die premies nou als inkomsten uit de derde geldstroom?
“Er zijn inderdaad hackers die een goed inkomen bij elkaar weten te hacken. Maar het gaat ons niet om het geld. We zijn geen arme onderzoekgroep. Het gaat ons om nieuwe inzichten, een bug vinden is op zich niet interessant. In het geval van de Intel-chips is het belangrijkste inzicht dat de problemen heel diep verankerd zitten in de manier waarop we chips ontwerpen. Het gaat over veiligheid: we begrijpen niet meer wat we bouwen en dit soort onderzoek leert ons daar meer over. De afgelopen vijftig jaar lag de focus in het bedrijfsleven alleen maar op efficiënter, efficiënter, efficiënter; maar dat is heel gevaarlijk!”