Video: Bounty Twitch Commercial (Septembra 2024)
Výskumníci v oblasti bezpečnosti, ktorí sa špecializujú na penetračné testovanie, trávia svoje dni (a noci) pokusmi o prelomenie bezpečnostných systémov. Ak nájdu v produkte bezpečnostnú dieru skôr, ako to urobia zbabelci, poskytne výrobcovi produktu čas na vytlačenie záplaty. Čo je to pre výskumníka? Možno odmena za 100 000 dolárov, ak bol problém v produkte spoločnosti Microsoft. Vedci spoločnosti High-Tech Bridge, bezpečnostnej služby a spoločnosti zaoberajúcej sa testovaním penetrácie, uvádzajú, že spoločnosť Yahoo ponúka aj odmenu za chybu. Prvý reportér overiteľnej bezpečnostnej chyby dostane… 12, 50 dolárov, ktorý je možné uplatniť iba v podnikovom obchode spoločnosti Yahoo za „firemné tričká, šálky, perá a ďalšie doplnky“. Naozaj, Yahoo?
Rýchlo prasknutý
Webová stránka Zabezpečenie na stránkach Yahoo informuje o bezpečnostných krokoch, ktoré spoločnosť už podnikla, spolu so zbierkou tipov. Jednotlivci, ktorí sa domnievajú, že ich účty boli napadnuté alebo zneužité, môžu kontaktovať Yahoo z tejto stránky a požiadať o pomoc. Uvádza tiež: „Ak ste členom bezpečnostnej komunity a potrebujete nahlásiť technickú chybu zabezpečenia, kontaktujte: [email protected].“
Na vyhodnotenie systému Bug Bounty sa vedci High-Tech Bridge posadili a začali hľadať bezpečnostné diery na webových stránkach spoločnosti Yahoo. Ihneď našli jedného, ale už to bolo hlásené. V priebehu ďalších niekoľkých dní našli ďalšie tri zraniteľné miesta pri skriptovaní, všetky nové. (Nie je to trochu alarmujúce samo o sebe?) Podľa správy: „Každá zo zistených slabých miest umožnila kompromitáciu akéhokoľvek e-mailového účtu @ yahoo.com jednoduchým odoslaním špeciálne vytvoreného odkazu prihlásenému používateľovi Yahoo.“ Keď používateľ klikne na odkaz, je koniec hry.
Vlastní vedci spoločnosti Yahoo overili, že tieto zraniteľné miesta skutočne existujú (od tej doby boli opravené). Výskumnému tímu ponúkli výdatné poďakovanie a ocenenie 12, 50 dolárov za chybu, splatné v obchodnom dome. Výskumní pracovníci boli bez dojmu; správa uvádza: „V tomto bode sme sa rozhodli odložiť ďalší výskum.“
Väčšie odmeny
Spoločnosť Microsoft za niektoré správy zaplatí 100 000 dolárov. Facebook vyplatil viac ako milión dolárov. Apple neplatí odmenu za chyby, ale odmeňuje „zodpovedné zverejnenie“ so slávou. Zdá sa mi, že politika spoločnosti Apple v oblasti bezhotovostnej spravodlivej slávy je lepšia ako udeľovanie zmien chump.
„Yahoo by pravdepodobne mal prehodnotiť svoje vzťahy s bezpečnostnými výskumníkmi, “ uviedla Ilia Kolochenko, CEO spoločnosti High-Tech Bridge. „Zaplatenie niekoľkých dolárov za zraniteľnosť je zlý vtip a nebude motivovať ľudí, aby im hlásili zraniteľné miesta v bezpečí, najmä ak je možné tieto chyby ľahko predať na čiernom trhu za oveľa vyššiu cenu.“ Z toho vyvodzuje záver, že ak spoločnosť Yahoo nestrávi viac na podnikovej bezpečnosti, „nikto z zákazníkov spoločnosti Yahoo sa nikdy nemôže cítiť bezpečne“.
Ostatné spoločnosti požadovali propagáciu, aby si uvedomili, že odmeny za chyby sa vyplácajú veľkým časom. Pred niekoľkými rokmi Facebook ponúkol iba 500 dolárov. Nedávno jeden výskumník, ktorému Facebook odmietol odmenu, demonštroval svoj objav zverejnením na stene Marka Zuckerberga. Brian Martin, prezident Nadácie otvorenej bezpečnosti, poznamenal, že „aj spoločnosť Microsoft, ktorá bola najznámejšou výdržou programov na odmenu za chyby, si uvedomila túto hodnotu a preskočila pred ostatnými a ponúkla až 100 000 dolárov.“ Ďalej povedal: „Niektoré z týchto spoločností platia svojim školiteľom viac peňazí na upratovanie svojich kancelárií, ako robia výskumníci v oblasti bezpečnosti, ktorí hľadajú zraniteľné miesta, ktoré by mohli ohroziť tisíce zákazníkov.“
Musím súhlasiť. Ak predajcovia nebudú platiť za objavy výskumných pracovníkov v oblasti bezpečnosti, určite sú iní. Nechceme, aby sa tí chytrí vedci obracali k Temnej strane, aby nakŕmili svoje deti.
