Vérdíj a biztonsági résekre

A fejlesztőcégek sokkal jobban járhatnak akkor, ha jutalmat fizetnek az alkalmazásaik gyenge pontjait feltáró független kutatóknak, mintha csak saját szakembereket alkalmaznak e feladatra.
 

A szoftverfejlesztő vállalatok egyre többször játszanak el a gondolattal, hogy mi lenne akkor, ha fizetnének az alkalmazásiakban található biztonsági hibák felfedezőinek. E gondolatok korántsem ördögtől valók, hiszen a Mozilla és a Google már évek óta alkalmazza ezt a stratégiát, és nagyon sikeresnek tartják e kezdeményezéseket. Idén pedig már a Facebook is jelezte, hogy szintén díjazza a biztonsági rések feltárását elősegítő "önkénteseket".

Tényleg hatékony?

Néhány egyetemi kutató és szakember úgy határozott, hogy mélyebb szinten is megvizsgálják e jutalmazási módszerek hatékonyságát, hasznosságát. A Kaliforniai Egyetem közreműködésével elkészített tanulmány a Mozilla és a Google jutalmazási programjának elmúlt három évét vette górcső alá. A szerzők megállapították, hogy a vizsgált időszakban a Mozilla összesen 570 ezer dollárt fizetett ki azok számára, akik a Firefox kapcsán sérülékenységre akadtak. Eközben a Google 580 ezer dollárral jutalmazta azokat, akik a Chrome böngészővel összefüggésben jeleztek biztonsági rendellenességeket. Ennek köszönhetően a Firefox-ban 190, míg a Chrome-ban 501 sebezhetőségre derült fény. Érdekesség, hogy a külső szakemberek által felfedezett hibák a Firefox esetében az összes sérülékenység 24 százalékát tették ki, míg ez az arány a Chrome kapcsán 28 százalékra adódott.

A Mozilla és a Google jutalmazási rendszere a díjak odaítélését tekintve meglehetősen eltér egymástól. A Firefox veszélyes sebezhetőségeinek bejelentéséért 3000 dollár jár, míg a Chrome esetében a díjazás mértéke nem fix, hanem annak függvénye, hogy milyen veszélyességi kategóriába tartozik az újonnan észlelt hiba. A kutatók megállapították, hogy a Google az elmúlt három év tekintetében egy-egy biztonsági résért átlagosan 1.156 dollárt fizetett.

Megéri nagylelkűnek lenni?

A tanulmány szerzői arra a megállapításra jutottak, hogy a biztonsági kutatók jutalmazása több szempontból is előnyös lehet a fejlesztőcégek számára. Egyrészt ilyen módon sokkal több embert tudnak mozgósítani, aminek köszönhetően nagyobb valószínűséggel lepleződhetnek le a sérülékenységek még azelőtt, hogy az információk a kiberbűnözés kezébe kerülnének. Másrészt a jutalmazás költséghatékonyabb megoldást jelent, mint a főállású szakértők alkalmazása. A kutatók számítása szerint, ha a cégek a jutalmazási programjuk keretében eddig kifizetett összeget a saját biztonsági csapatuk bővítésére fordították volna, akkor legfeljebb 1-2 fővel tudták volna növelni a létszámot, és feltételezhetően korántsem sikerült volna ennyi hibáról lerántani a leplet.

Az egyetemi kutatók ugyanakkor azt is előnyként említették, hogy a fejlesztőcégek kiváló munkaerőhöz juthatnak azáltal, hogy a rendszeresen súlyos hibákra akadó szakembereket be tudják vonni a mindennapi munkába. A tanulmány szerint mind a Mozilla, mind a Google immár legalább három-három olyan biztonsági kutatót alkalmaz főállásban, akik korábban rendszeresen számoltak be biztonsági résekről.

A számos előny ellenére még mindig sok olyan vállalat van, amelyek nem akarnak elmozdulni a jutalmazási rendszer felé. Ezek közé tartozik többek között a Microsoft is (bár az Internet Explorer 11 Preview kapcsán már megenyhült a véleménye). Ennek ellenére az egyetemi kutatók magabiztosak, és azt javasolták a fejlesztőcégeknek, hogy vegyék fontolóra a sérülékenységek kezelésének e már bevált módját. Persze ehhez azt is hozzá kell tenni, hogy a külső szakértők bevonása meg nem jelenti azt, hogy belső sebezhetőség vizsgálatokra ne lenne szükség.