Egyre jobban lehet élni mások hibájából
A biztonsági kutatók egyre nagyobb számban neveznek be olyan jutalmazási programokba, amelyek révén anyagilag is megtérülhet a befektetett munkájuk. Legtöbben csak hobbiból vadásznak a sebezhetőségekre.Az elmúlt években több jelentős informatikai cég is indított olyan kezdeményezéseket, amelyek révén jutalmazni kezdte a biztonsági rések után kutató szakembereket. Többek között a Mozilla, a Google, a Facebook, a Yahoo! is csatlakozott ezen szervezetekhez. A jutalmazási programok beváltották a hozzájuk fűzött reményeket. Sőt kezdetben biztosan nem sokan gondolták azt, hogy 2016-ra egy teljes iparággá növi ki magát mindez. Márpedig a "hibavadász" piac egyre csak gyarapodik, és mind több érdeklődött vonz.
Biztonsági kutatásokat nem kizárólag az előbb említett vállalatoknak lehet végezni, hanem például olyan szolgáltatókon keresztül is, mint amilyen a Bugcrowd. A vállalatot 2012-ben Casey Ellis alapította Ausztráliában, de ma már egy amerikai székhelyű cégről beszélünk. A szakember célja az volt, hogy egy olyan platformot teremtsen, amelynek segítségével a cégek, mint megrendelők felkérhetik a biztonsági közösséget különféle szoftverek tesztelésére. Kezdetben elsősorban informatikai vállalatokkal gyarapodott az ügyfélkör, de mára már más szektorok is képviseltetik magukat. A Bugcrowd legfrissebb jelentése szerint jelenleg az informatikai cégek mellett megtalálhatóak többek között pénzügyi, banki, oktatási, egészségügyi, telekommunikációs szektorokban tevékenykedő szervezetek. Biztonsági kutatásokat rendelt már egyebek mellett a Tesla is, de a Pentagon weboldalának meghackelésére kiírt "pályázat" is nagy érdeklődésre tartott számot.
Forrás: Bugcrowd
Pénzkereseti lehetőség
A Bugcrowd jelentése szerint 2013 januárja óta összesen több mint kétmillió dollárt fizetett ki azon biztonsági kutatóknak, akik a rendszerén keresztül jelentettek be valóban létező sérülékenységeket. Az egy sérülékenység után járó jutalom átlagos értéke tavaly 294 dollárra adódott, de miután a vállalat idén változtatott a pénzügyi politikáján, ez az összeg az első negyedévben 506 dollárra emelkedett.
Azért kell külön is hangsúlyozni, hogy a Bugcrowd csak valóban létező, ellenőrzött sérülékenységek után fizet, mert a statisztikák azt mutatják, hogy sok a nem releváns, illetve az ismétlődő hibabejelentés. 2013 januárja óta több mint 54 ezer bejelentést fogadott a cég, amelyek 45 százaléka nem felelt meg a követelményeknek, illetve 36 százaléka már ismert sérülékenységekre világított rá.
A legtöbb (66 százaléknyi) rendellenesség XSS (cross-site scripting) kockázatokat vetett fel. A toplista második helyére a CSRF (Cross-Site Request Forgery), a harmadikra a mobil appokkal kapcsolatos rendellenességek, míg a negyedikre az SQL injection sebezhetőségek kerültek számosságukat tekintve.
Forrás: Bugcrowd
Fiatal hibavadászok
A Bugcrowd rendszerébe eddig több mint 26 ezer személy regisztrált. 40 százalékuk indiai, 12 százalékuk pedig amerikai állampolgár. Ugyanakkor viszonylag sok kutató dolgozik Angliából, Németországból, Egyiptomból és Oroszországból is. A kétharmaduk 18-29 éves. Természetesen a népes közösségben vannak olyanok, akik teljes munkaidőben csak sérülékenységek felkutatásával foglalkoznak, de a regisztráltak 70 százaléka kevesebb mint heti 10 órát foglalkozik a biztonsági rések utáni hajtóvadászattal. Ők vagy részmunkaidőben vagy hobbiból végzik a szoftverek, szolgáltatások ellenőrzését.
Van még hova fejlődni
A vállalat által közzétett jelentés tanúsága szerint napjainkban a Forbes 2000 cégeknek csak a 94 százaléka alkalmaz saját vagy kiszervezett jutalmazási programokat. Amely szervezetek még nem vágtak bele a biztonsági közösségben rejlő lehetőségek kiaknázásába, azok elsősorban maguk (vagy erre specializálódott partnercégek segítségével) végzik a penetrációs teszteket, a sérülékenységi vizsgálatokat, illetve a statikus kódelemzéseket.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.