Közkedvelt módja a szoftverhibák felfedezésének a bugvadászat, vagyis az a módszer, amikor az adott alkalmazás, platform tulajdonosa, fejlesztője kisebb-nagyobb összeget fizet a sebezethetőségeket felfedezők számára. Az egyik legismertebb ezek közül a Facebook projektje, mely tavasszal jutalmazott 10 ezer dollárral egy 10 éves finn fiút, aki az Instragramban talált komoly sérülékenységet.
A Google és a Mozilla már régóta motiválja a programozókat saját termékeikkel kapcsolatban. A Mozilla például 3000 dollárt ad akkor, ha a Firefoxban találunk egy méretes biztonsági rést, és a felfedezésünket jól dokumentálva elküldjük nekik, írtuk meg mi is. A Google 500 és 1337 dollár között fizet hasonló bejelentésekért (az 1337 megfordítva a "leet" szót adja ki, amely a számokkal megbolondított "hacker írásmód" neve).
Beindul az autóipar
Amint arról nemrég írtunk, egyre erőteljesebbé válik az a nyílt forrású az Automotive Grade Linux (AGL) projekt, amely egyesített operációs rendszert kínál az autóipari fejlesztőknek. Ezzel leveszi a terhet a gépjárműiparban dolgozó szoftverfejlesztő mérnökök válláról a különálló platformok létrehozásával és fejlesztésével kapcsolatban – a programozók ezáltal magasabb szintű feladatok megoldására koncentrálhatják energiájukat.
Az egységesedéssel azonban megnő a veszélye annak, hogy a platform csalogatóvá válik a hackerek számára – nem véletlen, hogy az asztali rendszerek esetében legnépszerűbb Windows és a mobil készüléknél első helyen álló Android van leginkább a cyberbűnözők célkeresztjében. Míg azonban egy hagyományos IT-eszköz lefagyása vagy a felhasználó hitelkártyájának lemerítése még elviselhető fájdalmat okoz, egy meghackelt autó az utasaira és a közlekedésben részt vevőkre egyaránt halálos veszélyt jelenthet.
Ezt a kockázatot ismerte és mérte fel a Fiat Chrysler részlege akkor, amikor ketten sikeresen hozzáfértek vezeték nélküli kapcsolattal egy Jeep Cherokee számítógépes rendszeréhez (erről bővebben itt írtunk). Habár esetükben nem a károkozás volt a cél, pusztán annak demonstrálása, hogy erre már ma is lehetőség van, előbb-utóbb megjelenhetnek az ártó szándékú – vagy akár csak gondatlan – kísérletezők is.
Megelőzendő, vagy legalábbis csökkentendő a fenti helyzetek kialakulásának valószínűségét, az FCA bejelentette, hogy bárkinek hajlandó fizetni, aki egy addig nem dokumentált, az autó számítógépes rendszerét kiszolgáltatni képes hibáról számol be. Ehhez a Bugcrowd nevű crowdsource-olt alkalmazásbiztonsági tesztpaltformot hívták segítségül; az itt regisztráltak minden egyes, a feltételeknek megfelelő hiba után 150-1500 dollár közötti összeget kapnak, a sebezhetőség komolyságának függvényében.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak