Nagyon sokat lehet keresni a Linux hibáival
Mostantól a Unix és Linux alapú rendszerek esetében is nagyon komoly jutalomra számíthatnak a biztonsági rések után kutakodó szakemberek.A hibavadász programok évek óta egyre nagyobb népszerűségre tesznek szert, mind a gyártók, mind a biztonsági kutatók és etikus hackerek körében. E trendben rejlő lehetőségek kiaknázására több független cég is alakult, amelyek hibavadász programokat indítanak, és jutalmazzák a sérülékenységek felfedezőit. A bevételeiket pedig az adja, hogy a sérülékenységi információkat, illetve az azok kihasználására alkalmas kódokat értékesítik az érintett fejlesztőcégek, kormányzati szervek stb. számára. Persze vannak olyan vállalatok is, mint például a Google, a Facebook, amelyek saját maguk szervezik e programokat.
A Zerodium 2015 óta aktív igazán ezen a piacon, és már eddig is számos hibavadász program révén hívta fel magára a figyelmet. Ezek közül kétségtelenül a legnagyobb hírverést az Apple iOS kapcsán indított kezdeményezése kapta. Nem csoda, hiszen a cég azt közölte, hogy ha valaki távolról kihasználható, jailbreakelésre is módot adó sebezhetőséget fedez fel, akkor annak nem kevesebb mint 1,5 millió dollárt fizet.
A Zerodium legújabb akciója ennél valamivel visszafogottabb, de még így sem lehet rá panasz. Mostantól ugyanis a Unix és Linux alapú rendszerek esetében feltárt sérülékenységek akár 500 ezer dollárt is hozhatnak a biztonsági kutatók konyhájára. A programban részt vesz az OpenBSD, a FreeBSD, a NetBSD, az Ubuntu, a CentOS és a Debian is.
A maximális jutalom akkor jár, ha valaki olyan sebezhetőséget fedez fel, és használ ki egy exploittal, amely a lehető legkevesebb felhasználói közreműködést igényli egy támadás során, és minél egyszerűbben használható ki. A Zerodium ugyanis abból indul ki, hogy azok a biztonsági rendellenességek, amelyek kihasználásához több sérülékenységet is fel kell mutatni, kevésbé stabilak, illetve jóval feltűnőbbek a védelmi megoldások előtt. Természetesen a jutalom mértékét az is befolyásolja, hogy a biztonsági rés mely operációs rendszert, illetve disztribúciót sújtja. A legtöbbet az Ubuntu és a CentOS hibái érnek.
A cég tájékoztatójából az is kiderült, hogy a jogosulatlan távoli kódfuttatást lehetővé tevő biztonsági rések mellett a jogosultsági szint emelésre lehetőséget adó sebezhetőségek is sokat érhetnek, hiszen ezek esetében a jutalom maximális összegét 100 ezer dollárban határozta meg.
A Zerodium jutalmazási táblázatai a következőképpen festenek:
Desktop és szerver platformok
Mobil platformok
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
-
A PuTTY-hoz egy biztonsági frissítés vált elérhetővé.
-
A XenServer és a Citrix Hypervisor is biztonsági frissítéseket kapott.
-
A GitLab újabb biztonsági javításokat adott ki.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.