A címben említett két szoftverfejlesztő gigász egyaránt "árat emelt" a hibavadász programjaikban odaítélt elismeréseken. A tavasz tehát jól indul a biztonsági kutatók számára: egy-egy korábban ismeretlen sebezhetőség felismeréséért még több pénz ütheti a markukat. Az érdeklődők egyébként nem csak ennél a két vállalatnál kopogtathatnak ilyen célból, hiszen sokan hajlandóak fizetni: például a Facebook és a Trend Micro szintén kínál hasonló lehetőségeket.

Szükség van a hibavadászokra

A Google a legtöbbet egy távolról való kód futtatását lehetővé tevő sérülékenységért fizet. Eddig 20 ezer dollár volt a plafon, mostantól 31 337 dollár a kategória maximuma. Kevésbé gálánsan, de szintén növelte a fájlrendszerhez és adatbázis-hozzáféréshez lehetőséget nyújtó biztonsági rések felfedezőinek honoráriumát. Őket az eddigi 10 ezer dollár helyett immár akár 13 337 dollár értékben is jutalmazhatja a vállalat.

Az emelését azzal indokolta a vállalat, hogy 2010 óta – ekkor indul útjára a Google hibavadász programja – szinte folyamatos az érdeklődés a sebezhetőségekért pénzt kínáló lehetőség iránt. A 100 dollártól 20 ezer dollárig terjedő honorárium azonban mára már nem eléggé ellentételezi a Google szerint azt az erőfeszítést, amibe egy-egy új sérülékenység felfedezése kerül. Josh Armour, a vállalat egyik vezető beosztásban dolgozó biztonsági szakértője úgy látja, egyre nehezebb új hibákra akadni a Google szoftvereiben, például a Chrome-ban és az Androidban.

Ez egyfelől jó hír a termékek biztonsági minőségét illetően, másrészt azonban mérsékeli a hibavadászok érdeklődését. Ezt akarja továbbra is magas szinten tartani a vállalat a jutalmak összegének megemelésével.

Limitált ideig duplaannyit fizet Redmond

Hasonló elhatározásra jutott a Microsoft is. A remondi vállalat az online szolgáltatásaiban (például az Office 365-ben) hibát találókat jutalmazza még több pénzzel. A Microsoft Online Services Bug Bounty program egyébként még 2014-ben indult, amit 2015-ben bővített a vállalat, hogy lefedje vele Azure felhőszolgáltatását is.

Ennek keretei között minimum 500, maximum 15 ezer dollárral jutalmazta eddig azokat a biztonsági szakértőket, akik korábban ismeretlen sérülékenységet tártak fel az érintett rendszerekben. Ahogy a Google esetében, úgy a Microsoftnál is egyedi elbírálás alapján, a felfedezett biztonsági rés jelentette fenyegetettség arányában döntöttek arról, mennyit fizetnek egy-egy esetért.

Úgy tűnik azonban, hogy a Microsoft csak ideiglenesen növelte meg a "vérdíjat". Leírásuk szerint március 1. és május 1. között duplázzák a kifizethető összegeket, tehát így a legkomolyabb hibák ezen időszak alatt akár 30 ezer dollárt is érhetnek.

Bevett gyakorlat

Fizetett hekkerekkel akarja feltárni informatikai és kommunikációs rendszerének gyengéit az Uber, azaz sok cég, köztük Facebook, Yahoo! vagy a Google után ők is bevezetik az ún. "bug bounties" gyakorlatát, írtunk róla még tavaly márciusban. A táborhoz aztán augusztusban csatlakozott az Apple is, bár ők sokáig tartózkodtak ettől a megoldástól. Volt ugyan egy meghívásos rendszerű gyakorlatuk, de abba csak azok a kutatók tudtak bekerülni, akik már adtak az Apple-nek fontos sérülékenységekről információkat. A teljes nyitásnak ugyanis szerintük nem volt értelme, mert a feketepiac és a kormányzati szervek amúgy is túllicitálják a vállalatokat.

Ebben végül igaza lett az almás cégnek. Az Exodus Intelligence alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy, az iOS 9.3-ban (vagy annál újabb mobil operációs rendszerben) talált, korábban ismeretlen biztonsági résről szóló információért.