A biztonsági rések utáni hajtóvadászat élére áll a Google
A Google egy jelentős lépésre szánta el magát a biztonsági kutatók ösztönzése érdekében, ugyanis jó néhány nyílt forráskódú szoftvert is bevont a jutalmazási rendszerébe.A Google 2010 januárjában jelentette be, hogy a Chrome böngészőjének esetében fizetni fog a biztonsági hibák felfedezőinek. Ennek megfelelően a cég - a Mozilla mintájára - azokat a szakembereket kezdte díjazni, akik első kézből jeleztek számára különféle sérülékenységeket. A program oly annyira beváltotta a hozzá fűzött reményeket, hogy a Google többször kiterjesztette azt, így már a weboldalainak, webes alkalmazásainak és szolgáltatásainak kapcsán feltárt sebezhetőségek felfedezőit is anyagi elismerésben részesíti. 2012 áprilisában és idén nyáron pedig a pénzdíjakat emelte meg, amivel a legmagasabb kiérdemelhető összeg 7.500 dollárra kúszott fel a webes szolgáltatások esetében.
Kiterjesztett lehetőségek
A Google a legutóbbi bejelentése alapján az eddigieknél jóval szélesebb körben igyekszik támogatni a sebezhetőségek kutatását. A vállalat ugyanis jelezte, hogy a jutalmazási programját jelentős mértékben kibővíti, és abba olyan nyílt forráskódú szoftvereket is bevon, amelyeket nem ő maga fejleszt. Elsőként az alábbi alkalmazások, illetve szoftveres összetevők kerültek fel a Google listájára:
Hálózati megoldások: OpenSSH, BIND, ISC DHCP
Képkezelés: libjpeg, libjpeg-turbo, libpng, giflib
Chromium projekt: Chromium, Blink
Széles körben használt könyvtárak: OpenSSL, zlib
Linux kernel egyes összetevői, KVM
A Google jelezte, hogy a közeljövőben tovább fogja bővíteni a kezdeményezését a következőkkel:
Webszerverek: Apache httpd, lighttpd, nginx
SMTP-alkalmazások: Sendmail, Postfix, Exim
GCC, binutils és llvm
OpenVPN
Amikor egy biztonsági kutató ráakad a fenti alkalmazásokban, illetve összetevőkben egy sérülékenységre, akkor azt először az adott projekt fejlesztőinek kell jeleznie. Ők szemügyre veszik a bejelentést, és szükség esetén megteszik a védelmi intézkedéseket, befoltozzák a biztonsági rést, majd kiadják a frissítést. Ezt követően a kutató jelezheti a Google-nek a felfedezését, amelyet a vállalat szintén górcső alá vesz, és megvizsgálja, hogy a hiba valóban létezett-e, valamint megszületett-e hozzá a javítás. Ezt követően - a sérülékenység veszélyességének függvényében - minimum 500, maximum 3.133,7 dollárral jutalmazza a hibát feltáró szakembert.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.