Pólóval is beérik a Mozilla rés-vadászai
A sérülékenységek felfedezői sokszor eltekintenek a pénzjutalomtól.
Kategóriák: Biztonság, IT-védelem
Szerző: Kristóf Csaba
2010. szeptember 07.
A Mozilla 2004-ben indította útjára azt a kezdeményezését, amellyel elsősorban azt szerette volna elérni, hogy a Firefoxban és a különböző alkalmazásaiban felfedezett sérülékenységek minél hamarabb - lehetőleg első kézből - juthassanak a tudomására. Ezért egy jutalmazási rendszert vezetett be, amelynek keretében a súlyos biztonsági hibák bejelentőit pénzjutalomban részesíti.
Sokáig ez az összeg 500 dollár volt, azonban a Mozilla a nyáron bejelentette, hogy megemeli a pénzjutalmat. Így napjainkban egy új sebezhetőség már 3000 dollárt ér. Ezt azok kaphatják meg, akik olyan új sérülékenységről számolnak be a Mozilla szakembereinek, amely a veszélyességi skálán eléri a kritikus vagy a magas besorolást. A Mozilla kritikus minősítéssel illeti azokat a hibákat, amelyek jogosulatlan távoli kódfuttatást is lehetővé tehetnek. A magas veszélyességi kategóriába pedig általában azok a biztonsági rések tartoznak, amelyek bizalmas információk kiszivárgását segíthetik elő.
Johnathan Nightingale, a Firefox fejlesztési igazgatója az amerikai Computerworldnek adott interjújában elújságolta, hogy a biztonsági kutatók körében korántsem mindig a pénz számít. Az eddigi tapasztalatok azt mutatják, hogy a hibák bejelentőinek 10-15 százaléka nem fogadja el a felkínált pénzjutalmat. A szakember szerint többször a következőket mondják a sérülékenységek felfedezői: "Ne aggódjatok emiatt. Támogassátok az EFF (Electronic Frontier Foundation) alapítványt, vagy egyszerűen küldjetek nekem egy pólót."
A Mozilla a biztonsági kezdeményezésének 2004-es bejelentése óta 80 biztonsági kutatót jutalmazott, akik összesen 120 sérülékenységre hívták fel a Firefox fejlesztőinek figyelmét. A megemelt 3000 dolláros jutalommal a Mozilla azt szeretné elérni, hogy még többen csatlakozzanak a programjához, és ezáltal minél kevesebben forduljanak az internetes feketepiac felé. Alvilági körökben ugyanis jóval többet érnek ezek az információk. A számítógépes bűnözők mindent elkövetnek azért, hogy olyan sebezhetőségeket tudjanak kihasználni, amelyek révén a kártékony programok terjesztését valamint az egyéb tevékenységeiket széles körben tudják elvégezni.
A Google is fizet
A Google a Mozilla ötletét ez év elején átvette, és bejelentette, hogy fizetni fog a Chrome böngészőjében kimutatott sérülékenységekről szóló információkért. Az eddigi tapasztalatok szerint a jutalom mértéke általában 500 dollár volt, de a legveszélyesebb sebezhetőségek 1337 dollárt értek. Azonban miután a Mozilla felemelte a "tétet", a Google úgy határozott, hogy nem marad le. Közölte, hogy akár 3133,70 dollárt is kaphatnak a biztonsági réseket feltáró személyek. A Google a jutalmazási rendszerének év eleji bevezetése óta - augusztusig bezárólag - 21 sebezhetőség bejelentéséért fizetett ki összesen 14846 dollárt.
A hír testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.
