Jólfizető biztonsági rések

A Mozilla nemrégen jelentette be, hogy megemeli a sebezhetőségek bejelentőinek szánt pénzjutalmát. A Firefoxot és a Mozilla egyéb alkalmazásait érintő hibák felfedezői korábban alkalmanként 500 dolláros díjazásban részesülhettek. Ez az összeg immár 3000 dollár, vagyis hatszorosára emelkedett a jutalom, amit azok kaphatnak meg, akik olyan új sérülékenységről számolnak be a Mozilla szakembereinek, amely a veszélyességi skálán eléri a kritikus vagy a magas besorolást. A Mozilla kritikus minősítéssel illeti azokat a hibákat, amelyek jogosulatlan távoli kódfuttatást is lehetővé tehetnek. A magas veszélyességi kategóriába pedig általában azok a biztonsági rések tartoznak, amelyek bizalmas információk kiszivárgását segíthetik.

Csak senki meg ne tudja?
A Mozilla a jutalmazást nem köti ahhoz, hogy a sérülékenység felfedezője hallgatási fogadalmat tegyen. Vagyis a díj akkor is jár, ha a felfedező azelőtt kürtöli ki a nagyvilágba az általa feltárt biztonsági rés részleteit, mielőtt a fejlesztők orvosolnák a hibát. Ezzel szemben a sérülékenységekkel kapcsolatos információkat vásárló cégek, mint amilyen például a HP TippingPoint vagy a VeriSign iDefense, szigorúan megtiltják az átadott információk nyilvánosságra hozatalát egészen addig, amíg az adott biztonsági rések befoltozásra nem kerülnek. Ugyanakkor sokszor ezek a cégek a Mozilla, illetve a Google megemelt díjánál is jóval nagyobb összegeket adnak a sebezhetőségek felfedezőinek.

A Mozilla 2004-ben indította útjára a kezdeményezését, mellyel elsősorban azt szerette volna elérni, hogy a Firefoxban és a különböző alkalmazásaiban felfedezett sérülékenységek minél hamarabb - lehetőleg első kézből - juthassanak a tudomására. Az ötletet ez év elején a Google is átvette, és bejelentette, hogy fizetni fog a Chrome böngészőjében kimutatott sérülékenységekről szóló információkért. Az eddigi tapasztalatok szerint a jutalom mértéke általában 500 dollár volt, de a legveszélyesebb sebezhetőségek 1337 dollárt értek. Azonban miután a Mozilla felemelte a "tétet", a Google úgy határozott, hogy nem marad le. Közölte, hogy ezentúl akár 3133,70  dollárt is kaphatnak a biztonsági réseket bejelentő személyek. A maximális összeg azoknak jár, akik kritikus veszélyességű sérülékenységekről számolnak be a Google fejlesztőinek.

Chris Evans, a Google biztonsági csapatának munkatársa szerint a megemelt jutalom azt tükrözi, hogy a sandbox technológiával ellátott böngészőn egyre nehezebb kritikus veszélyességű rést találni. A szakember úgy véli, hogy a Chrome izolált folyamatait nem könnyű megkerülni, és ezáltal a számítógépekre a kártékony kódok feljuttatása, illetve a rendszerek megfertőzése sem egyszerű. Evans hozzátette, hogy a kevésbé veszélyes sérülékenységekről szóló információkért továbbra is 500 dollárt fognak fizetni. Itt érdekes megemlíteni, hogy Google a jutalmazási rendszerének év eleji bevezetése óta 21 sebezhetőség bejelentéséért fizetett ki összesen 14846 dollárt.

Charlie Miller biztonsági kutató - aki többek között a Pwn2Own hekkerversenyen elért eredményei révén vált ismertté - úgy vélekedett, hogy egy jutalmazási csata kezdődött. Miller és két kollégája (Alex Sotirov és Dino Dai Zovi) szerint a cégeknek a biztonsági kutatók munkájáért igenis fizetniük kell, hiszen az átadott információk komoly éréket képviselnek azon fejlesztők számára, akik a termékeiket meg akarják óvni az internetes feketepiac veszélyeitől.

Nem mindenki fizet
A különféle sérülékenységek felfedezőinek jutalmazásával nem mindenki ért egyet. Így például a Microsoft sem. A cég ugyanis bejelentette, hogy nem követi a Mozilla és a Google példáját. "Nem gondoljuk, hogy a sebezhetőségek utáni díjazás lenne a legjobb módszer a kutatók munkájának elismerésére" - mondta Mike Reavey, a Microsoft MSRC (Microsoft Security Research Center) központjának igazgatója. "Nem minden kutatót a pénz motivál. A Microsoft másképp kompenzálja a biztonsági szakemberek munkáját." - vélekedett a szakember.  A vállalat például konferenciák támogatásával próbál hozzájárulni a kutatásokhoz, de Reavey szerint számos egyéb módon is együttműködnek a biztonsági kutatók közösségével.

A cikk a Computerworld biztonság rovatában jelent meg.