3000 dollárt fizet a Mozilla egy kritikus hibáért

A Mozilla 2004-ben indította útjára azt a kezdeményezését, amellyel elsősorban azt szerette volna elérni, hogy a Firefoxban és a különböző alkalmazásaiban felfedezett sérülékenységek minél hamarabb - lehetőleg első kézből - juthassanak a tudomására. Ez különösen fontos a Firefox esetében, hiszen a webböngészők hibáit kihasználó támadások száma az elmúlt években folyamatosan emelkedett.

"Nagyon sok minden változott azóta, hogy hat évvel ezelőtt a Mozilla bejelentette a biztonsági kezdeményezését." - mondta Lucas Adamski, a Mozilla biztonsági vezetője. A szakember véleménye szerint az egyik legjobb utat választották akkor, amikor elhatározták, hogy a biztonsági kutatók munkáját pénzzel is honorálják annak érdekében, hogy az információk fejlesztőkkel való megosztását elősegítsék.

A Firefoxot és a Mozilla egyéb alkalmazásait érintő hibák felfedezői eddig alkalmanként 500 dolláros díjazásban részesülhettek. Ez az összeg mostantól 3000 dollár, vagyis hatszorosára emelkedett a jutalom. Ezt azok kaphatják meg, akik olyan új sérülékenységről számolnak be a Mozilla szakembereinek, amely a veszélyességi skálán eléri a kritikus vagy a magas besorolást. A Mozilla kritikus minősítéssel illeti azokat a hibákat, amelyek jogosulatlan távoli kódfuttatást is lehetővé tehetnek. A magas veszélyességi kategóriába pedig általában azok a biztonsági rések tartoznak, amelyek bizalmas információk kiszivárgását idézhetik elő. Jutalom nem jár azokért a sebezhetőségekért, amelyek "csak" szolgáltatásmegtagadási támadásokat segíthetnek elő.

Érdekes megemlíteni, hogy a Mozilla a jutalmazást nem köti ahhoz, hogy a sérülékenység felfedezője "hallgatási fogadalmat tegyen". Vagyis a díj akkor is jár, ha a felfedező azelőtt kürtöli ki a nagyvilágba az általa feltárt biztonsági rés részleteit, mielőtt a fejlesztők orvosolnák a hibát. Az azért érdekes, mert a sérülékenységekkel kapcsolatos információkat vásárló cégek, mint amilyen például a HP TippingPoint vagy a VeriSign iDefense, szigorúan megtiltják az átadott információk nyilvánosságra hozatalát egészen addig, amíg az adott biztonsági rések befoltozásra nem kerülnek. Ugyanakkor sokszor ezek a cégek a Mozilla most megemelt díjánál is jóval nagyobb összegeket adnak a sebezhetőségek felfedezőinek.

A Google is jutalmaz

A Google az év elején vezetett be egy hasonló kezdeményezést, mint amit a Mozilla hat évvel ezelőtt. A Google a Chrome böngészőjében kimutatott sérülékenységekről szóló információkért fizet. Általában 500 dollárt, de a legveszélyesebb sebezhetőségekért 1337 dollár jutalmat oszt ki. Legutóbb július elején ítélt oda összesen 2500 dollárt két biztonsági kutatónak.

A cikk a Computerworld biztonság rovatában jelent meg.