Minden nagy, IT-s termékeket és/vagy szolgáltatásokat fejlesztő vállalat komoly minőségbiztosítási szisztémával rendelkezik. A gyakran dollármilliókat felemésztő tevékenységnek köszönhetően a késznek ítélt megoldásokban jóval kevesebb hiba marad, mintha nem lenne ellenőrzés – de még a legjobb szűrőn sem akad fenn az összes. Ezekből a hibákból élnek a hackerek.

Akár 30 ezer dollárt is érhet

A nagy kérdés csak az, hogy mihez kezdenek azok, akik felfedezik az addig észrevétlenül megbújó biztonsági réseket. Csupán egészen kevés részüket motiválja pusztán a dicsőség, többségük a befektetett munka és tudás miatt szeret némi anyagi ellenszolgáltatásban is részesülni. Rosszabb esetben ezt a feketepiacon keresik, ám közülük sokan először az adott szoftver/szolgáltatás tulajdonosát keresik fel.

Utóbbiak táborát erősítendő hozták létre a nagyobb cégek azokat bugvadász programokat, amelyek során pénzzel honorálják a kutatók egy-egy felfedezését. A Microsoft és a Google például már régi motoros ezen a téren, nemrég emeltek árat. Az Intel eddig távol tartotta magát a témától, azonban a most tartott HackerOne konferencián végül csak előállt a farbával, és bejelentette hibák felfedezését jutalmazó programját.

A chipgyártó közlése értelmében az Intel szoftvereit, firmware-eit és hardvereit érinti a kezdeményezés. Minél nehezebb kikerülni egy hibát, minél nagyobb és komolyabb hatással van a felhasználói biztonságra, annál többet fizetnek érte. Egy szoftveres bugért maximum 7 ezer, a firmware-eket érintő sebezhetőségért 10 ezer, a vállalat hardvereiben felfedezett biztonsági résért pedig akár 30 ezer dollárt is utalhat a megtalálónak az eset részletes dokumentációjáért, ha azt először az Intelnek juttatta el. Megérheti ugyanakkor alacsony szintű kockázatot jelentő sérülékenységek után is kutatni, ezeket maximum ezer dollárral jutalmazza a vállalat.

Van azonban néhány kivétel, melyekre nem vonatkozik az Intel bugvadász programja. A biztonsági megoldásokat, vagyis az Intel Security (ha jobban tetszik, McAfee) termékeket nem vette be a projektbe a chipgyártó, ahogyan a webes infrastruktúráját sem érinti a kezdeményezés.

Bevett gyakorlat

Fizetett hackerekkel akarja feltárni informatikai és kommunikációs rendszerének gyengéit az Uber, azaz sok cég, köztük Facebook, Yahoo! vagy a Google után ők is bevezetik az ún. "bug bounties" gyakorlatát, írtunk róla még tavaly márciusban. A táborhoz aztán augusztusban csatlakozott az Apple is, bár ők sokáig tartózkodtak ettől a megoldástól. Volt ugyan egy meghívásos rendszerű gyakorlatuk, de abba csak azok a kutatók tudtak bekerülni, akik már adtak az Apple-nek fontos sérülékenységekről információkat. A teljes nyitásnak ugyanis szerintük nem volt értelme, mert a feketepiac és a kormányzati szervek amúgy is túllicitálják a vállalatokat.

Ebben végül igaza lett az almás cégnek. Az Exodus Intelligence alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy, az iOS 9.3-ban (vagy annál újabb mobil operációs rendszerben) talált, korábban ismeretlen biztonsági résről szóló információért.