Jutalom jár a Google Chrome hibáiért

A Google Chrome böngésző egyre nagyobb népszerűségre tesz szert az internetezők körében. Azonban mindez egyben azt is jelenti, hogy egyre több hekker figyelme fordul e szoftver felé, és a böngésző esetleges sérülékenységeinek kihasználására mind nagyobb valószínűséggel kerülhet sor. Természetesen tisztában van mindezzel a Google is, amely egy új kezdeményezéssel próbálja segíteni a megelőzést. A cég ugyanis bejelentette, hogy elindítja azt a programját, amelynek keretében a Chrome-ban felfedezett minden egyes biztonsági rés után legalább 500 dollárt fizet a bejelentő személynek. Ez az összeg nagyobb is lehet, amennyiben egy olyan sérülékenységre sikerül felhívni a böngésző fejlesztőinek a figyelmét, amely valóban komoly veszélyt jelent a mindennapi internetezés során, vagy annak feltárásához nagyon kifinomult módszerek kellenek. A legtöbb kockázatot rejtő, "legravaszabb" biztonsági rések 1337 dollárt érnek a Google-nél.

"A Google számos olyan mérnököt alkalmaz, akiknek egész nap nincs más feladatuk, mint feltörni a Chrome-ot. Azonban tudjuk azt, hogy a Google berkein kívül is számos ügyes szakember van, és most nekik próbálunk segíteni" - mondta Chris Evans, a Google biztonsági csapatának egyik munkatársa. A szakember szerint 2009-ben körülbelül tíz sérülékenységért fizettek volna, ha már akkor is létezett volna a jutalmazási rendszer. Ez persze azt is jelenti, hogy azért a Google belső szakértői is serényen tevékenykednek, ugyanis csak a Chrome 4 első - nem teszt - verziójában tizenhárom sebezhetőséget orvosoltak a fejlesztők.

Hogy csinálják mások?

A Google kezdeményezése nem számít újdonságnak, hiszen már eddig is voltak olyan vállalatok, amelyek fizettek a sérülékenységek felfedezőinek. Többek között a Mozilla is ezek közé tartozik: 2004-ben indított el egy hasonló jutalmazási rendszert, szintén 500 dolláros díjazással. Azonban a Google bejelentése kapcsán a Mozilla nem kívánt nyilatkozni, és nem árulta el, hogy a saját programja napjainkban miként működik.

A 3Comhoz tartozó TippingPoint csapata is fizet azért, ha valaki egy szoftverben felfedezett biztonsági rést elsőként bejelent. A Zero Day Initiative (ZDI) program keretében azonban nemcsak böngészőkkel kapcsolatos rendellenességekre lehet felhívni a figyelmet. Pedram Amini, a TippingPoint biztonsági kutatásokért felelős vezetője elmondta, hogy számukra a Google bejelentése nem jelent különösebb problémát, ugyanis a böngészők szempontjából jelenleg elsősorban az Internet Explorerre és a Firefoxra koncentrálnak, ugyanis azok a legelterjedtebb alkalmazások ezen a piacon. Emellett a Safari-t is szem előtt tartják, elsősorban a Mac OS X valamint az iPhone miatt. (Az Internet Explorer legutóbbi frissítésével megszüntetett nyolc biztonsági rés közül öt a ZDI révén jutott a Microsoft tudomására.)

Elég az 500 dollár?

Arról egyelőre megoszlanak a vélemények, hogy az 500 dolláros jutalom mekkora motiváló tényezőt jelent a biztonsági rések után kutakodók számára. Amini szerint semmiképpen sem árt, hiszen amikor egy hekker vagy kutató éppen olyan szoftvert keres, amelyben sérülékenységeket deríthet fel, akkor nagyobb valószínűséggel választ jutalommal kecsegtető "célpontot". A szakember azonban megjegyezte, hogy a ZDI esetében átlagosan tízszer többet fizetnek a biztonsági résekről szóló információkért, mint amennyit például a Google ígér. Egy 5000 dolláros jutalom azonban még mindig elenyészik a feketepiaci árakhoz képest, hiszen bűnözői körökben egy-egy böngészőhiba technikai leírásáért akár 30 ezer dollárt is megadnak.

A Google a Chrome OS-t egyelőre nem vonta be a jutalmazási rendszerébe, de könnyen elképzelhető, hogy a jövőben erre is sor fog kerülni.