A Mozilla és a Google már évek óta alkalmazza a módszert: "vérdíjat" fizet azoknak a – nyilván szakértő – felhasználóknak, akik az alkalmazásiakban felfedezett biztonsági hibákat visszaküldik a cégnek. Idéntől a Facebook is bevezette ezt a módszert.
Több mint félmillió 3 év alatt ■ A Kaliforniai Egyetemen annak jártak utána, hogy mennyire hasznos ez a módszer. A kutatók, más, kiterjedt program nem lévén a Mozilla és a Google biztonsági programjának az elmúlt három évét vizsgálták. Ebben az időszakban a Mozilla összesen 570 ezer dollárt fizetett ki azoknak, akik a Firefoxban sérülékenységet találtak. A Google ugyanezen időszakban 580 ezer dollárt a Chrome böngésző sérülékenységeit beküldőknek. A Firefox-ban 190, a Chrome-ban pedig 501 biztonsági rést sikerült így feltárni, ami a Firefox esetében az ezen időszakban feltárt összes sérülékenység 24 százalékát tette ki, a Chrome esetében pedig a 28 százalékát.
Bár a két cég rendszerének a lényege ugyanaz – aki felfedezi a hibát, legyen érdekelt abban, hogy elküldje a fejlesztőknek –, a jutalmazási szisztéma meglehetősen eltérő. A Mozilla egy veszélyes sebezhetőségért fixen 3000 dollárt fizet, a Chrome viszont finomabb kategóriákat állított fel, hogy a jutalom mértéke igazodjon a hiba súlyához. A kutatók ki is számították, hogy ezzel a módszerrel a Google az elmúlt három évben átlagosan 1 156 dollárt fizetett hibánként.
Nem nagylelkűség, számolás ■ A tanulmány szerzői néhány – talán triviálisnak tűnő megállapításra jutottak. Mindenekelőtt arra, hogy érdemes ezzel a módszerrel külsősöket is bevonni a hibák feltárásába. Így ugyanis sokkal több embert tudnak mozgósítani a biztonság tesztelésére, aminek köszönhetően nagyobb valószínűséggel lepleződhetnek le a kritikus problémák. Ráadásul ez a módszer gazdaságos is, gyakorlatilag teljesítményalapú, azaz sokkal jobban megéri, mint főállású szakértőket alkalmazni. A jutalmakra kifizetett összegből ugyanis legfeljebb egy-két fővel tudták volna bővíteni a biztonsági csapatukat. Velük azonban nem tudtak volna ennyi hibát feltárni. (A nemzetközi kereseti viszonyokról itt , míg a magyar helyzetről egy kattintással arrébb olvashatnak bővebben.)
További előnye a módszernek – vélik a kutatók –, hogy egyfajta felvételi vizsgára is alkalmas: kiszűrhetők azok ma tehetséges szakemberek, akiket esetleg érdemes a cégnek foglalkoztatnia. A tanulmány szerint mind a Mozilla, mind a Google immár legalább három-három olyan biztonsági kutatót alkalmaz már főállásban, akik korábban rendszeresen küldtek be külsősként hibákat.
Tehát előny van bőven, ám ennek ellenére nem terjedt el szélesebb körben: a nagy szoftvergyártók egy része még mindig saját hatáskörében tartja ezt a munkát. Például a Microsoft is csak az Internet Explorer 11 Preview kapcsán próbált nyitni Google és a Mozilla által követett út felé. A kutatók azonban felhívták a figyelmet arra is, hogy a sérülékenységek feltárásának ez a módja egyáltalán nem teszi fölöslegessé a belső sebezhetőségvizsgálatokat!
Általánosan is javulhat a biztonság ■ A biztonsági szakemberek sokat hangoztatott tétele, miszerint a biztonsági technológia csak alap, amit emberi közreműködéssel gyorsan le lehet rombolni. Éppen ezért is fontos az, hogy a dolgozók magunkénak érezzék a biztonsági problémákat, amit akár anyagi ösztönzőkkel is lehet segíteni. Mivel a biztonsági rendszerek legsebezhetőbb pontja mindig is az ember, célszerű olyan munkafeltételeket és ösztönzőrendszert kialakítani amelyben a dolgozók azt is feltárják, ha véletlenül ők sértettek meg bizonyos előírásokat, nyomtak rossz gombot, vesztettek el adatokat, meggondolatlanul kattintottak levélre. Sokkal kisebb károkat okoz ugyanis, ha egy ilyen emberi hiba időben kiderül, mintha esetleg hetekkel később közvetett jelekből vagy egy audit során derül fény egy múltbeli problémára.
Egy ilyen munkahelyi szisztémának a kialakítása nem egyszerű, de érdemes rá időt és energiát szánni.
(A cikk egy a Biztonságportálon megjelent írás alapján készült.)
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak