Milliók kereshetők a virtuális világ hibáival

Úgy tűnik, hogy a virtualizáció biztonsága a korábbiaknál is fontosabb kérdéseket vet fel. Akár 500 ezer dollárt is lehet keresni virtualizációs szoftverekben kimutatott hibák felfedezésével.
 

A biztonsági résekkel kapcsolatos információkat "felvásárló" Zerodiumról elmondható, hogy immár rendszeresen emeli az árakat. Ez pedig azt jelenti, hogy a sebezhetőségek után kutató szakemberek zsebébe is egyre nagyobb összegek kerülhetnek. A vállalat éppen az év elején döntött úgy, hogy a csúcsjutalmat 2 millió dollárra növeli. (Ennyi pénzt az kaphat, aki az iOS-ben távolról kivitelezhető jailbreakelést mutat be egy vagy több sérülékenységen keresztül.) Mindezek mellett jelezte, hogy 1 millió dollárra emeli a WhatsApp, az iMessage és egyes SMS/MMS-küldő appokban kimutatott, súlyos - távoli kódfuttatást lehetővé tevő - sebezhetőségek után járó jutalmat.  
A biztonsági résekért fizetett díjak növekedése ebben a hónapban sem állt meg. Ezúttal a virtualizációs technológiákban kimutatott sérülékenységek értéke nőtt jelentősen. Jelesül a VMWare ESXi és a Microsoft Hyper-V került terítékre.
 
A Zerodium hibavadász programjában már eddig is szerepelt a VMware ESXi, amelynek esetében az odaítélhető jutalom év elején 100 ezer dollár volt, de januárban ezt megduplázta a cég. Úgy tűnik, hogy még ez sem volt igazán vonzó összeg ahhoz, hogy még több biztonsági kutató kezdjen el foglalkozni a VMware megoldásaiban potenciálisan rejlő hibák felderítésével. Ezért aztán a Zerodium immár 500 ezer dollárra növelte a maximális díjat, bízva abban, hogy ezzel sikerül felkelteni az érdeklődést. A félmilliós jutalom akkor jár, ha valaki olyan sebezhetőséget mutat ki az ESXi kapcsán, amelynek kihasználásával a vendég rendszerekről teljes körű jogosultsággal rendelkező hozzáférést lehet szerezni a hoszt rendszerhez. Mindezt alapértelmezett konfigurációs beállítások mellett, és megbízható exploit révén kell teljesíteniük a hibavadászoknak. Természetesen a felfedezéseiket ezúttal is a szabályoknak megfelelően, etikus módon kell kezelniük.
 
Következik a Hyper-V
 
A Zerodium úgy nyilatkozott, hogy eddig az ügyfelei körében - akik elsősorban kormányzati szervek - nem mutatkozott komolyabb igény Hyper-V sebezhetőségekkel kapcsolatos információk iránt. Az utóbbi időben azonban mindez megváltozni látszik, ezért új szereplőként immár a Microsoft virtualizációs technológiája is bekerült a hibavadász programba. A VMware-hez hasonlóan itt is 500 ezer dollár a maximális jutalom.
 
A megemelt díjazás a jelenlegi tervek szerint néhány hónapig lesz elérhető, de ha ennél korábban nagyobb számú biztonsági résről érkezik értékelhető bejelentés, akkor lehet, hogy előbb visszaállnak az eredeti árak.