Fizetett hackerekkel akarja feltárni informatikai és kommunikációs rendszerének a gyengéit az Uber, azaz sok cég, köztük Facebook, Yahoo! vagy a Google után ők is bevezetik az ún. "bug bounties" gyakorlatát. A legnagyobb netes vállalatok már évek óta támaszkodnak független számítógépes szakértőkre támaszkodnak a biztonsági rések feltárásában.    

Az Uber nyitott könyv

A nyílt forráskódú szoftvereket fejlesztők egyik régi érve a nyíltság mellet az, hogy az növeli a rendszerek biztonságát, ráadásul gyorsítja a hibajavítást, hiszen aki megtalálta, akár azonnal javíthatja is. Így a hiba és a javítás közzététele akár egy időben is megtörténhet.

Az Uber azonban túémegy ezen: lényegében nyitott könyvvé teszi a technológiai rendszerét. Egyfajta "kincskereső térképet" tesz közzé, amelyből részletesen megismerhető a vállalat szoftver-infrastruktúrája, sőt arra is ad tippeket, hogy ennek mely pontjain várhatók leginkább a támadások, és hogy milyen típusú biztonsági résekre bukkanhatnak legnagyobb valószínűséggel a fehér kalapos hackerek.

A vállalatok ritkán árulnak el ennyi mindent a számítógépes programjaikról kívülállóknak, hacsak azért nem, hogy más fejlesztők a rendszerükhöz illeszkedő szoftvert tudjanak készíteni. "A bizalomnak ezt a szintjét még nem sok zárt forráskódú szoftvert fejlesztő cégnél lehet tapasztalni, de remélem, hogy lesznek követők" – nyilatkozta az Uber bounty programját menedzselő HackerONe informatikai igazgatója. Persze ezekhez az információkhoz nem férhet hozzá akárki, hanem csak az, akinek arra a hibakeresést összefogó cég hozzáférést ad.

A bugvadászatot koordináló, HackerOne, melyet a Facebook, a Google és a Microsoft biztonsági vezetői hívtak életre, és San Francisco-i riválisa, a Bugcrowd, de több hasonló, a hibakeresést crowdsourcing modellben végző biztonsági startup is segítette azokat a törekvéseket, amelyek keretében a független biztonsági szakemberek még a bűnözők és a kémek előtt fel tudták térképezni a rendszerek programozási hibáit. Ezek a vállalkozások közvetítő szerepet tölthetnek be a fejlesztők és a rendszereiket használó cégek között.

Már hackelhetők az IoT eszközök prototípusai

Nagyot változott a világ egy évtized alatt. Bő tíz éve ha egy hacker felderített és publikált egy biztonsági hibát, akár a letartóztatástól is tarthatott. Ma viszont már pénzt is kereshet ilyen munkával. Bár a hibakeresőknek szóló javadalmazási programok nem fizetnek olyan jól a feltárt biztonsági résekért, mint a bűnözők vagy a hadiipari megbízók, de jövedelemkiegészítésre jó lehetőség  a fehér kalaposoknak. Ráadásul egyre több lehetőségük van a kibontakozásra: nemrégiben például a Pentagon is magára eresztette a hackereket. Mint beszámoltunk róla, a Hack the Pentagon projekt keretében az amerikai védelmi minisztérium is külsős biztonsági szakemberekkel szondáztatta meg a nyilvános honlapjait. Ezért is járt némi pénzjutalom, de csak azoknak, akik egyébként sikeresen átestek egy nemzetbiztonsági átvilágításon.

A Bugcrowd főnöke, Casey Ellis szerint kisebbfajta boom tapasztalható ezen a piacon: egyre több cég hív meg ugyanis ilyen programjaiba általuk kiválasztott biztonsági kutatókat. Ez növeli a beléjük helyezett bizalmat, miáltal egyre több területre tudják kiterjeszteni a biztonsági rések utáni vadászatot. A Bugcrowdnak is vannak már olyan programjai, melybe a meghívott kutatók már a dolgok internetéhez kapcsolódó eszközök előzetes verzióihoz vagy forráskódokhoz is hozzáférhetnek.