A Windows 10 Insider Preview, vagyis a Microsoft aktuális desktop operációs rendszerének új kiadásait tesztelőprogram egy új hibavadász programmal bővült, amely kivételesen magas, 250 ezer dolláros jutalmat helyez kilátásba egy-egy súlyos hiba feltárásáért cserébe. Ehhez olyan működő, eredeti és korábban nem dokumentált exploitot kell bemutatni a Hyper-V hipervizoron, amely lehetővé teszi a kódok távoli, a hipervizort és a kernelt érintő futtatását – mindezt nyilvánvalóan a legfrissebb Windows Insider Preview publikusan elérhető "slow ring" csoportjára vonatkozóan.

A kiírás szigorú feltételeket tartalmaz, például ha a sérülékenység jelentésekor már pont kijött az újabb slow build, akkor a felfedezett jelenséget már nem tekintik reprodukálhatónak. A hibák felfedezésekor viszont akkor is jutalmazzák a legelső közzétételt, ha a bug egyébként már ismert volt a Microsoft szakemberei előtt – ebben az esetben a vonatkozó díjak 10 százalékát fizetik ki a hackernek.

A kódok távoli futtatását lehetővé tevő bugok egyébként 500 és 15 ezer dollár közötti összeget érnek, hasonlóan mondjuk a jogosultságnöveléssel, a távoli szolgáltatásmegtagadással járó támadásokkal vagy az információszivárgással kapcsolatos hibák feltárásához. Ez nagyjából megfelel a március és június között futott Office Insider Builds tarifáinak, ahol bizonyos esetekben ugyancsak túl lehetett lépni a 15 ezres határt.

Csekély befektetések a lehetséges károkhoz képest

A bug bounty programok a Microsoftnál már hagyománynak számítanak, de egyre több vállalat ébred rá a hasonló kezdeményezések nyilvánvaló hasznára. Néhány hete mi is beszámoltunk a HackerOne sérülékenységek feltárását koordináló platformjának statisztikájáról, amelyben eddig 50 ezernél is több feltárt sérülékenység és több mint 17 millió dollárnyi sikerdíj szerepel, sőt már olyan szervezet is előfordul, amely évente összességében 900 ezer dollárt költ a bugvadászok jutalmazására.

A trend még nem nevezhető világszintűnek és teljesen általánosnak, de a HackerOne adataiból kiderül, hogy Google, a Facebook, az Intel és más techcégek mellett – amelyek még mindig a hibakereső kezdeményezések közel kétharmadát jegyzik – már a kormányügynökségek, a média- vagy szórakoztatóipari vállalatok, a bankok és pénzügyi szolgáltatók, illetve a kiskereskedelmi vállalkozások is növekvő érdeklődést mutatnak, ami ezen a területen is a szervezeti kultúra változását jelzi.

A hackereket a Microsoft és más cégek is már akár a több tízezer dolláros nagyságrendben is hajlandók megfizetni, ha érdemleges sérülékenységet fedeznek fel rendszereikben, a sikerdíjak átlagos összege pedig a 2 ezer dollárt közelíti. Ez természetesen nem öncélú folyamat: tavaly például a számottevő adatszivárgások már átlagosan 4 millió dollárjába kerültek az incidenseket elszenvedő társaságoknak, ami a WannaCry zsarolóvírus esetében ennek duplája volt.

Nem mindenki igazodik a trendekhez szélkakas módjára

Az Index is éppen ma fedezte fel az állami informatikai rendszerek kibervédelméért felelős Kormányzati Eseménykezelő Központ (GovCERT) felhívását, amely az etikus hackereknek biztosítana lehetőséget a felfedezések akár anonim módon való bejelentésére. Ehhez a szükséges kulcsot is biztosítják titkosított emailek küldéséhez, hogy a feltárt sérülékenységek részletes leírásával ők értesítsék az érintett szervezeteket.

Talán nem véletlen, hogy a GovCERT felhívása nem sokkal azután jelent meg, hogy a T-Systems és a BKK tanácselnök tempóban próbálta meg elvenni mindenki kedvét a jó szándékú hibavadászattól. Ahogy arról mi is beszámoltunk, a budapesti közösségi közlekedés online jegyértékesítő rendszerének tragikus bemutatkozását tovább színesítette, hogy a fejlesztő T-Systems simán feljelentette azt a 18 éves diákot, aki próbaképpen 50 forintért vásárolt meg egy 10 ezer forintos havi bérletet, majd az egészet azonnal jelezte a BKK-nak.

A helyzetet egyébként jól jellemzi, hogy a fővárosnak esze ágában sincs levonni a szükséges következtetéseket. Tarlós István főpolgármester mai sajtótájékoztatóján közölte, hogy nem kezdeményezi a PR-katasztrófát fölényeskedéssel és dilettáns hasonlatokkal mélyítő Dabóczi Kálmán BKK-vezérigazgató felmentését, hiszen a külső-belső vizsgálatok még javában tartanak, a felelősséget viszont már most teljes egészében áttolná a rendszert fejlesztő és üzemeltető T-Systemsre és annak német anyacégére, amely szerinte "alamuszin lapít".

Arról egyelőre nincs információnk, hogy az éles üzem előtti átadás-átvétel során az átvétel mezőt is a T-Systems képviselői írták-e alá, és az sem világos, hogy egy ennyire primitív hibákkal teletűzdelt áruval hogyan sikerülhetett "félrevezetni a felhasználót", vagyis a saját informatikai igazgatósággal rendelkező BKK-t.

Tarlós István – aki az ügy kapcsán hallotta először az etikus hacker kifejezést, de az ügy részleteiről mindenkinél többet tud – szerint még nem tisztázott dolog, hogy valóban etikus hacker-e az eljárás alá vont fiatal, plusz minden rendszer feltörhető, még a Pentagoné is. Az a nagyszabású adatszivárgás, amelyről néhány napja a 24.hu számolt be, a folyamatban levő vizsgálat szerint személyes kiszivárogtatás lehetett. Tarlós szerint az egész ügy egy fillérjébe nem került a BKK-nak, mert még nem fizetett a szerinte sem megfelelően működő szolgáltatásért; ezek szerint a hasonló incidenseknek nem mindig vannak közvetett, de nagyon is forintosítható költségei.