Hackerekkel keresteti a réseket technológiai rendszerén az Uber. A közösségi alapon működő személyszállító vállalkozás fizet a megtalált hibákért.

Fizetett hackerekkel akarja feltárni informatikai és kommunikációs rendszerének a gyengéit az Uber, azaz sok cég, köztük Facebook, Yahoo! vagy a Google után ők is bevezetik az ún. "bug bounties" gyakorlatát. A legnagyobb netes vállalatok már évek óta támaszkodnak független számítógépes szakértőkre támaszkodnak a biztonsági rések feltárásában.    

Az Uber nyitott könyv

A nyílt forráskódú szoftvereket fejlesztők egyik régi érve a nyíltság mellet az, hogy az növeli a rendszerek biztonságát, ráadásul gyorsítja a hibajavítást, hiszen aki megtalálta, akár azonnal javíthatja is. Így a hiba és a javítás közzététele akár egy időben is megtörténhet.

Az Uber azonban túémegy ezen: lényegében nyitott könyvvé teszi a technológiai rendszerét. Egyfajta "kincskereső térképet" tesz közzé, amelyből részletesen megismerhető a vállalat szoftver-infrastruktúrája, sőt arra is ad tippeket, hogy ennek mely pontjain várhatók leginkább a támadások, és hogy milyen típusú biztonsági résekre bukkanhatnak legnagyobb valószínűséggel a fehér kalapos hackerek.

A vállalatok ritkán árulnak el ennyi mindent a számítógépes programjaikról kívülállóknak, hacsak azért nem, hogy más fejlesztők a rendszerükhöz illeszkedő szoftvert tudjanak készíteni. "A bizalomnak ezt a szintjét még nem sok zárt forráskódú szoftvert fejlesztő cégnél lehet tapasztalni, de remélem, hogy lesznek követők" – nyilatkozta az Uber bounty programját menedzselő HackerONe informatikai igazgatója. Persze ezekhez az információkhoz nem férhet hozzá akárki, hanem csak az, akinek arra a hibakeresést összefogó cég hozzáférést ad.

A bugvadászatot koordináló, HackerOne, melyet a Facebook, a Google és a Microsoft biztonsági vezetői hívtak életre, és San Francisco-i riválisa, a Bugcrowd, de több hasonló, a hibakeresést crowdsourcing modellben végző biztonsági startup is segítette azokat a törekvéseket, amelyek keretében a független biztonsági szakemberek még a bűnözők és a kémek előtt fel tudták térképezni a rendszerek programozási hibáit. Ezek a vállalkozások közvetítő szerepet tölthetnek be a fejlesztők és a rendszereiket használó cégek között.

Már hackelhetők az IoT eszközök prototípusai

Nagyot változott a világ egy évtized alatt. Bő tíz éve ha egy hacker felderített és publikált egy biztonsági hibát, akár a letartóztatástól is tarthatott. Ma viszont már pénzt is kereshet ilyen munkával. Bár a hibakeresőknek szóló javadalmazási programok nem fizetnek olyan jól a feltárt biztonsági résekért, mint a bűnözők vagy a hadiipari megbízók, de jövedelemkiegészítésre jó lehetőség  a fehér kalaposoknak. Ráadásul egyre több lehetőségük van a kibontakozásra: nemrégiben például a Pentagon is magára eresztette a hackereket. Mint beszámoltunk róla, a Hack the Pentagon projekt keretében az amerikai védelmi minisztérium is külsős biztonsági szakemberekkel szondáztatta meg a nyilvános honlapjait. Ezért is járt némi pénzjutalom, de csak azoknak, akik egyébként sikeresen átestek egy nemzetbiztonsági átvilágításon.

A Bugcrowd főnöke, Casey Ellis szerint kisebbfajta boom tapasztalható ezen a piacon: egyre több cég hív meg ugyanis ilyen programjaiba általuk kiválasztott biztonsági kutatókat. Ez növeli a beléjük helyezett bizalmat, miáltal egyre több területre tudják kiterjeszteni a biztonsági rések utáni vadászatot. A Bugcrowdnak is vannak már olyan programjai, melybe a meghívott kutatók már a dolgok internetéhez kapcsolódó eszközök előzetes verzióihoz vagy forráskódokhoz is hozzáférhetnek.

Biztonság

Venne Windows 10-es okosórát?

A Microsoft újra bepróbálkozik a viselhető elektronikai piacon, ezúttal kicsit másképp, mint ahol azt tavaly ősszel abbahagyta.
 
Korábban az ipari vezérlőrendszerek zártan működtek, és ezáltal számos hálózatbiztonsági kockázattól mentesültek. Mára azonban nyitottabbá váltak, ami új támadási felületeket teremtett.

a melléklet támogatója a Balasys

Hirdetés

Monitoringra épülő SCADA-védelem

Ahogy az ipari rendszerek bekapcsolódnak a vállalati hálózatok vérkeringésébe, úgy válik mind sürgetőbbé a védelmük megerősítése.

A digitális átalakulás szép elv. De ha mindent az azonnali megtérülés és az IT-költségek csökkentése vezérel, akkor csak elv marad – súlyos valós következményekkel. Takács István Péter írása.

Az élethosszig tartó tanulás lesz a legfontosabb képességünk

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az SAP megnyerte az első csatát: elsőfokú döntés született a közvetett szoftver felhasználás licencdíj vonzatairól. Dr. Andriska Zsófia (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.