A processzorgyártó úgy döntött, saját bugvadász programot indít: akár 30 ezer dollárt is érhet egy hardveres hiba.

Minden nagy, IT-s termékeket és/vagy szolgáltatásokat fejlesztő vállalat komoly minőségbiztosítási szisztémával rendelkezik. A gyakran dollármilliókat felemésztő tevékenységnek köszönhetően a késznek ítélt megoldásokban jóval kevesebb hiba marad, mintha nem lenne ellenőrzés – de még a legjobb szűrőn sem akad fenn az összes. Ezekből a hibákból élnek a hackerek.

Akár 30 ezer dollárt is érhet

A nagy kérdés csak az, hogy mihez kezdenek azok, akik felfedezik az addig észrevétlenül megbújó biztonsági réseket. Csupán egészen kevés részüket motiválja pusztán a dicsőség, többségük a befektetett munka és tudás miatt szeret némi anyagi ellenszolgáltatásban is részesülni. Rosszabb esetben ezt a feketepiacon keresik, ám közülük sokan először az adott szoftver/szolgáltatás tulajdonosát keresik fel.

Utóbbiak táborát erősítendő hozták létre a nagyobb cégek azokat bugvadász programokat, amelyek során pénzzel honorálják a kutatók egy-egy felfedezését. A Microsoft és a Google például már régi motoros ezen a téren, nemrég emeltek árat. Az Intel eddig távol tartotta magát a témától, azonban a most tartott HackerOne konferencián végül csak előállt a farbával, és bejelentette hibák felfedezését jutalmazó programját.

A chipgyártó közlése értelmében az Intel szoftvereit, firmware-eit és hardvereit érinti a kezdeményezés. Minél nehezebb kikerülni egy hibát, minél nagyobb és komolyabb hatással van a felhasználói biztonságra, annál többet fizetnek érte. Egy szoftveres bugért maximum 7 ezer, a firmware-eket érintő sebezhetőségért 10 ezer, a vállalat hardvereiben felfedezett biztonsági résért pedig akár 30 ezer dollárt is utalhat a megtalálónak az eset részletes dokumentációjáért, ha azt először az Intelnek juttatta el. Megérheti ugyanakkor alacsony szintű kockázatot jelentő sérülékenységek után is kutatni, ezeket maximum ezer dollárral jutalmazza a vállalat.

Van azonban néhány kivétel, melyekre nem vonatkozik az Intel bugvadász programja. A biztonsági megoldásokat, vagyis az Intel Security (ha jobban tetszik, McAfee) termékeket nem vette be a projektbe a chipgyártó, ahogyan a webes infrastruktúráját sem érinti a kezdeményezés.

Bevett gyakorlat

Fizetett hackerekkel akarja feltárni informatikai és kommunikációs rendszerének gyengéit az Uber, azaz sok cég, köztük Facebook, Yahoo! vagy a Google után ők is bevezetik az ún. "bug bounties" gyakorlatát, írtunk róla még tavaly márciusban. A táborhoz aztán augusztusban csatlakozott az Apple is, bár ők sokáig tartózkodtak ettől a megoldástól. Volt ugyan egy meghívásos rendszerű gyakorlatuk, de abba csak azok a kutatók tudtak bekerülni, akik már adtak az Apple-nek fontos sérülékenységekről információkat. A teljes nyitásnak ugyanis szerintük nem volt értelme, mert a feketepiac és a kormányzati szervek amúgy is túllicitálják a vállalatokat.

Ebben végül igaza lett az almás cégnek. Az Exodus Intelligence alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy, az iOS 9.3-ban (vagy annál újabb mobil operációs rendszerben) talált, korábban ismeretlen biztonsági résről szóló információért.

Biztonság

Ők most a világ technológiai vezetői

Az IT világ száz legbefolyásosabb vállalatának csúcsán történt némi változás, de azért az igazán nagy nevek továbbra is vezető pozícióban maradtak.
 
Hirdetés

Nagy kihívás blockchain szakértőt találni, pedig már van rá igény

Ha kell, projekt alapon, ha kell, klasszikus fejvadász módjára közvetíti az itthon is nagy számban keresett informatikai szakértőket a Bluebird International Zrt.

Hogyan alakítják át a munkaerőpiacon bekövetkezett változások a HR-cégek tevékenységét? Milyen új eszközök és módszerek jelennek meg a fejvadászatban?

a melléklet támogatója a Bluebird

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.