A processzorgyártó úgy döntött, saját bugvadász programot indít: akár 30 ezer dollárt is érhet egy hardveres hiba.

Minden nagy, IT-s termékeket és/vagy szolgáltatásokat fejlesztő vállalat komoly minőségbiztosítási szisztémával rendelkezik. A gyakran dollármilliókat felemésztő tevékenységnek köszönhetően a késznek ítélt megoldásokban jóval kevesebb hiba marad, mintha nem lenne ellenőrzés – de még a legjobb szűrőn sem akad fenn az összes. Ezekből a hibákból élnek a hackerek.

Akár 30 ezer dollárt is érhet

A nagy kérdés csak az, hogy mihez kezdenek azok, akik felfedezik az addig észrevétlenül megbújó biztonsági réseket. Csupán egészen kevés részüket motiválja pusztán a dicsőség, többségük a befektetett munka és tudás miatt szeret némi anyagi ellenszolgáltatásban is részesülni. Rosszabb esetben ezt a feketepiacon keresik, ám közülük sokan először az adott szoftver/szolgáltatás tulajdonosát keresik fel.

Utóbbiak táborát erősítendő hozták létre a nagyobb cégek azokat bugvadász programokat, amelyek során pénzzel honorálják a kutatók egy-egy felfedezését. A Microsoft és a Google például már régi motoros ezen a téren, nemrég emeltek árat. Az Intel eddig távol tartotta magát a témától, azonban a most tartott HackerOne konferencián végül csak előállt a farbával, és bejelentette hibák felfedezését jutalmazó programját.

A chipgyártó közlése értelmében az Intel szoftvereit, firmware-eit és hardvereit érinti a kezdeményezés. Minél nehezebb kikerülni egy hibát, minél nagyobb és komolyabb hatással van a felhasználói biztonságra, annál többet fizetnek érte. Egy szoftveres bugért maximum 7 ezer, a firmware-eket érintő sebezhetőségért 10 ezer, a vállalat hardvereiben felfedezett biztonsági résért pedig akár 30 ezer dollárt is utalhat a megtalálónak az eset részletes dokumentációjáért, ha azt először az Intelnek juttatta el. Megérheti ugyanakkor alacsony szintű kockázatot jelentő sérülékenységek után is kutatni, ezeket maximum ezer dollárral jutalmazza a vállalat.

Van azonban néhány kivétel, melyekre nem vonatkozik az Intel bugvadász programja. A biztonsági megoldásokat, vagyis az Intel Security (ha jobban tetszik, McAfee) termékeket nem vette be a projektbe a chipgyártó, ahogyan a webes infrastruktúráját sem érinti a kezdeményezés.

Bevett gyakorlat

Fizetett hackerekkel akarja feltárni informatikai és kommunikációs rendszerének gyengéit az Uber, azaz sok cég, köztük Facebook, Yahoo! vagy a Google után ők is bevezetik az ún. "bug bounties" gyakorlatát, írtunk róla még tavaly márciusban. A táborhoz aztán augusztusban csatlakozott az Apple is, bár ők sokáig tartózkodtak ettől a megoldástól. Volt ugyan egy meghívásos rendszerű gyakorlatuk, de abba csak azok a kutatók tudtak bekerülni, akik már adtak az Apple-nek fontos sérülékenységekről információkat. A teljes nyitásnak ugyanis szerintük nem volt értelme, mert a feketepiac és a kormányzati szervek amúgy is túllicitálják a vállalatokat.

Ebben végül igaza lett az almás cégnek. Az Exodus Intelligence alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy, az iOS 9.3-ban (vagy annál újabb mobil operációs rendszerben) talált, korábban ismeretlen biztonsági résről szóló információért.

Biztonság

Így kell adatot törölni a GDPR szellemében

Nemzeti szinten eddig is szigorú rendelkezések vonatkoztak az érzékeny adatok megsemmisítésére, de az Európai Unió Általános Adatvédelmi Rendeletének hatályba lépése után senki sem kerülheti el az információtörlés folyamatos feladatát.
 
Hirdetés

Ezért vannak biztonságban személyes adataink a felhőben

Nyakunkon az új európai adatvédelmi rendelet bevezetésének határideje, ami minden, adatkezelést végző vállalatra vonatkozik. A felhőszolgáltatók azonban elébe mentek a GDPR-nak.

A GDPR miatt elvileg változik az adatok életciklusa, de a gyakorlatban nem feltétlenül. Aminek viszont kellene változnia, az a hazai szabályozás. Ezen a téren viszont nem állunk jól.

a melléklet támogatója az Aruba Cloud

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.