A processzorgyártó úgy döntött, saját bugvadász programot indít: akár 30 ezer dollárt is érhet egy hardveres hiba.

Minden nagy, IT-s termékeket és/vagy szolgáltatásokat fejlesztő vállalat komoly minőségbiztosítási szisztémával rendelkezik. A gyakran dollármilliókat felemésztő tevékenységnek köszönhetően a késznek ítélt megoldásokban jóval kevesebb hiba marad, mintha nem lenne ellenőrzés – de még a legjobb szűrőn sem akad fenn az összes. Ezekből a hibákból élnek a hackerek.

Akár 30 ezer dollárt is érhet

A nagy kérdés csak az, hogy mihez kezdenek azok, akik felfedezik az addig észrevétlenül megbújó biztonsági réseket. Csupán egészen kevés részüket motiválja pusztán a dicsőség, többségük a befektetett munka és tudás miatt szeret némi anyagi ellenszolgáltatásban is részesülni. Rosszabb esetben ezt a feketepiacon keresik, ám közülük sokan először az adott szoftver/szolgáltatás tulajdonosát keresik fel.

Utóbbiak táborát erősítendő hozták létre a nagyobb cégek azokat bugvadász programokat, amelyek során pénzzel honorálják a kutatók egy-egy felfedezését. A Microsoft és a Google például már régi motoros ezen a téren, nemrég emeltek árat. Az Intel eddig távol tartotta magát a témától, azonban a most tartott HackerOne konferencián végül csak előállt a farbával, és bejelentette hibák felfedezését jutalmazó programját.

A chipgyártó közlése értelmében az Intel szoftvereit, firmware-eit és hardvereit érinti a kezdeményezés. Minél nehezebb kikerülni egy hibát, minél nagyobb és komolyabb hatással van a felhasználói biztonságra, annál többet fizetnek érte. Egy szoftveres bugért maximum 7 ezer, a firmware-eket érintő sebezhetőségért 10 ezer, a vállalat hardvereiben felfedezett biztonsági résért pedig akár 30 ezer dollárt is utalhat a megtalálónak az eset részletes dokumentációjáért, ha azt először az Intelnek juttatta el. Megérheti ugyanakkor alacsony szintű kockázatot jelentő sérülékenységek után is kutatni, ezeket maximum ezer dollárral jutalmazza a vállalat.

Van azonban néhány kivétel, melyekre nem vonatkozik az Intel bugvadász programja. A biztonsági megoldásokat, vagyis az Intel Security (ha jobban tetszik, McAfee) termékeket nem vette be a projektbe a chipgyártó, ahogyan a webes infrastruktúráját sem érinti a kezdeményezés.

Bevett gyakorlat

Fizetett hackerekkel akarja feltárni informatikai és kommunikációs rendszerének gyengéit az Uber, azaz sok cég, köztük Facebook, Yahoo! vagy a Google után ők is bevezetik az ún. "bug bounties" gyakorlatát, írtunk róla még tavaly márciusban. A táborhoz aztán augusztusban csatlakozott az Apple is, bár ők sokáig tartózkodtak ettől a megoldástól. Volt ugyan egy meghívásos rendszerű gyakorlatuk, de abba csak azok a kutatók tudtak bekerülni, akik már adtak az Apple-nek fontos sérülékenységekről információkat. A teljes nyitásnak ugyanis szerintük nem volt értelme, mert a feketepiac és a kormányzati szervek amúgy is túllicitálják a vállalatokat.

Ebben végül igaza lett az almás cégnek. Az Exodus Intelligence alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy, az iOS 9.3-ban (vagy annál újabb mobil operációs rendszerben) talált, korábban ismeretlen biztonsági résről szóló információért.

Biztonság

Már megint a Samsung-telefonok akkuival van gond

Ezúttal a Galaxy Note 4 egyes telepeiről derült ki, hogy túlmelegedésre hajlamosak. Visszahívják őket.
 
Virtualizációval teszik még hatékonyabbá az informatikai környezetet a szoftveresen meghatározott adatközpontok. Alacsonyabb költségek, magasabb színvonalú IT – egyre többen fordulnak az SDDC technológia felé.

a melléklet támogatója az ArubaCloud

Hirdetés

Pénztárcakímélő zöld adatközpont: Global Cloud Data Center

Az Aruba Cloud is a megújuló energiára voksolt. Legújabb, Milánó mellett felépített adatközpontja az eddigi legnagyobb – és egyben a legzöldebb. De miben is más, mint a többi?

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.