A fejlesztőcégek sokszor szakembereket használnak alkalmazásaik biztonsági réseinek feltárására. A felhasználók bevonásával azonban sokkal hatékonyabbá tehető a folyamat.

A Mozilla és a Google már évek óta alkalmazza a módszert: "vérdíjat" fizet azoknak a – nyilván szakértő – felhasználóknak, akik az alkalmazásiakban felfedezett biztonsági hibákat visszaküldik a cégnek. Idéntől a Facebook is bevezette ezt a módszert.

Több mint félmillió 3 év alatt A Kaliforniai Egyetemen annak jártak utána, hogy mennyire hasznos ez a módszer. A kutatók, más, kiterjedt program nem lévén a Mozilla és a Google biztonsági programjának az elmúlt három évét vizsgálták. Ebben az időszakban a Mozilla összesen 570 ezer dollárt fizetett ki azoknak, akik a Firefoxban sérülékenységet találtak. A Google ugyanezen időszakban 580 ezer dollárt a Chrome böngésző sérülékenységeit beküldőknek. A Firefox-ban 190, a Chrome-ban pedig 501 biztonsági rést sikerült így feltárni, ami a Firefox esetében az ezen időszakban feltárt összes sérülékenység 24 százalékát tette ki, a Chrome esetében pedig a 28 százalékát.


Bár a két cég rendszerének a lényege ugyanaz – aki felfedezi a hibát, legyen érdekelt abban, hogy elküldje a fejlesztőknek –, a jutalmazási szisztéma meglehetősen eltérő. A Mozilla egy veszélyes sebezhetőségért fixen 3000 dollárt fizet, a Chrome viszont finomabb kategóriákat állított fel, hogy a jutalom mértéke igazodjon a hiba súlyához. A kutatók ki is számították, hogy ezzel a módszerrel a Google az elmúlt három évben átlagosan 1 156 dollárt fizetett hibánként.

Nem nagylelkűség, számolás A tanulmány szerzői néhány – talán triviálisnak tűnő megállapításra jutottak. Mindenekelőtt arra, hogy érdemes ezzel a módszerrel külsősöket is bevonni a hibák feltárásába. Így ugyanis sokkal több embert tudnak mozgósítani a biztonság tesztelésére, aminek köszönhetően nagyobb valószínűséggel lepleződhetnek le a kritikus problémák. Ráadásul ez a módszer gazdaságos is, gyakorlatilag teljesítményalapú, azaz sokkal jobban megéri, mint főállású szakértőket alkalmazni. A jutalmakra kifizetett összegből ugyanis legfeljebb egy-két fővel tudták volna bővíteni a biztonsági csapatukat. Velük azonban nem tudtak volna ennyi hibát feltárni. (A nemzetközi kereseti viszonyokról itt  , míg a magyar helyzetről egy kattintással arrébb olvashatnak bővebben.)

További előnye a módszernek – vélik a kutatók –, hogy egyfajta felvételi vizsgára is alkalmas: kiszűrhetők azok ma tehetséges szakemberek, akiket esetleg érdemes a cégnek foglalkoztatnia. A tanulmány szerint mind a Mozilla, mind a Google immár legalább három-három olyan biztonsági kutatót alkalmaz már főállásban, akik korábban rendszeresen küldtek be külsősként hibákat.

Tehát előny van bőven, ám ennek ellenére nem terjedt el szélesebb körben: a nagy szoftvergyártók egy része még mindig saját hatáskörében tartja ezt a munkát. Például a Microsoft is csak az Internet Explorer 11 Preview kapcsán próbált nyitni Google és a Mozilla által követett út felé. A kutatók azonban felhívták a figyelmet arra is, hogy a sérülékenységek feltárásának ez a módja egyáltalán nem teszi fölöslegessé a belső sebezhetőségvizsgálatokat!
 

Felértékelődött a böngészők biztonsága
Ma már társadalmi probléma az online biztonság

Általánosan is javulhat a biztonság A biztonsági szakemberek sokat hangoztatott tétele, miszerint a biztonsági technológia csak alap, amit emberi közreműködéssel gyorsan le lehet rombolni. Éppen ezért is fontos az, hogy a dolgozók magunkénak érezzék a biztonsági problémákat, amit akár anyagi ösztönzőkkel is lehet segíteni. Mivel a biztonsági rendszerek legsebezhetőbb pontja mindig is az ember, célszerű olyan munkafeltételeket és ösztönzőrendszert kialakítani amelyben a dolgozók azt is feltárják, ha véletlenül ők sértettek meg bizonyos előírásokat, nyomtak rossz gombot, vesztettek el adatokat, meggondolatlanul kattintottak levélre. Sokkal kisebb károkat okoz ugyanis, ha egy ilyen emberi hiba időben kiderül, mintha esetleg hetekkel később közvetett jelekből vagy egy audit során derül fény egy múltbeli problémára.

Egy ilyen munkahelyi szisztémának a kialakítása nem egyszerű, de érdemes rá időt és energiát szánni.

(A cikk egy a Biztonságportálon megjelent írás alapján készült.)

Biztonság

MI-vezérelt embermosógép készül Japánban

A pilótafülkére emlékeztető szerkezet gyors mosó-szárító programot és teljes felfrissülést ígér a felhasználóknak.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.