Egyre jobban lehet élni mások hibájából

A biztonsági kutatók egyre nagyobb számban neveznek be olyan jutalmazási programokba, amelyek révén anyagilag is megtérülhet a befektetett munkájuk. Legtöbben csak hobbiból vadásznak a sebezhetőségekre.
 

Az elmúlt években több jelentős informatikai cég is indított olyan kezdeményezéseket, amelyek révén jutalmazni kezdte a biztonsági rések után kutató szakembereket. Többek között a Mozilla, a Google, a Facebook, a Yahoo! is csatlakozott ezen szervezetekhez. A jutalmazási programok beváltották a hozzájuk fűzött reményeket. Sőt kezdetben biztosan nem sokan gondolták azt, hogy 2016-ra egy teljes iparággá növi ki magát mindez. Márpedig a "hibavadász" piac egyre csak gyarapodik, és mind több érdeklődött vonz.

Biztonsági kutatásokat nem kizárólag az előbb említett vállalatoknak lehet végezni, hanem például olyan szolgáltatókon keresztül is, mint amilyen a Bugcrowd. A vállalatot 2012-ben Casey Ellis alapította Ausztráliában, de ma már egy amerikai székhelyű cégről beszélünk. A szakember célja az volt, hogy egy olyan platformot teremtsen, amelynek segítségével a cégek, mint megrendelők felkérhetik a biztonsági közösséget különféle szoftverek tesztelésére. Kezdetben elsősorban informatikai vállalatokkal gyarapodott az ügyfélkör, de mára már más szektorok is képviseltetik magukat. A Bugcrowd legfrissebb jelentése szerint jelenleg az informatikai cégek mellett megtalálhatóak többek között pénzügyi, banki, oktatási, egészségügyi, telekommunikációs szektorokban tevékenykedő szervezetek. Biztonsági kutatásokat rendelt már egyebek mellett a Tesla is, de a Pentagon weboldalának meghackelésére kiírt "pályázat" is nagy érdeklődésre tartott számot. 
Pénzkereseti lehetőség

A Bugcrowd jelentése szerint 2013 januárja óta összesen több mint kétmillió dollárt fizetett ki azon biztonsági kutatóknak, akik a rendszerén keresztül jelentettek be valóban létező sérülékenységeket. Az egy sérülékenység után járó jutalom átlagos értéke tavaly 294 dollárra adódott, de miután a vállalat idén változtatott a pénzügyi politikáján, ez az összeg az első negyedévben 506 dollárra emelkedett. 

Azért kell külön is hangsúlyozni, hogy a Bugcrowd csak valóban létező, ellenőrzött sérülékenységek után fizet, mert a statisztikák azt mutatják, hogy sok a nem releváns, illetve az ismétlődő hibabejelentés. 2013 januárja óta több mint 54 ezer bejelentést fogadott a cég, amelyek 45 százaléka nem felelt meg a követelményeknek, illetve 36 százaléka már ismert sérülékenységekre világított rá. 

A legtöbb (66 százaléknyi) rendellenesség XSS (cross-site scripting) kockázatokat vetett fel. A toplista második helyére a CSRF (Cross-Site Request Forgery), a harmadikra a mobil appokkal kapcsolatos rendellenességek, míg a negyedikre az SQL injection sebezhetőségek kerültek számosságukat tekintve.
Fiatal hibavadászok

A Bugcrowd rendszerébe eddig több mint 26 ezer személy regisztrált. 40 százalékuk indiai, 12 százalékuk pedig amerikai állampolgár. Ugyanakkor viszonylag sok kutató dolgozik Angliából, Németországból, Egyiptomból és Oroszországból is. A kétharmaduk 18-29 éves. Természetesen a népes közösségben vannak olyanok, akik teljes munkaidőben csak sérülékenységek felkutatásával foglalkoznak, de a regisztráltak 70 százaléka kevesebb mint heti 10 órát foglalkozik a biztonsági rések utáni hajtóvadászattal. Ők vagy részmunkaidőben vagy hobbiból végzik a szoftverek, szolgáltatások ellenőrzését.
 
Van még hova fejlődni

A vállalat által közzétett jelentés tanúsága szerint napjainkban a Forbes 2000 cégeknek csak a 94 százaléka alkalmaz saját vagy kiszervezett jutalmazási programokat. Amely szervezetek még nem vágtak bele a biztonsági közösségben rejlő lehetőségek kiaknázásába, azok elsősorban maguk (vagy erre specializálódott partnercégek segítségével) végzik a penetrációs teszteket, a sérülékenységi vizsgálatokat, illetve a statikus kódelemzéseket.