Berta Sándor

Hiba­vadászatból is meg lehet élni

Csak a legnagyobb cégek engedhetik meg maguknak saját IT-biztonsági csapat fenntartását, a kisebbeknek segíthet a nemzetközi közösség és számos erre specializálódott platform.

A Tesla, a General Motors és a Pentagon is rendelkezik olyan projekttel, amelyek keretében komoly jutalmakat kaphatnak azok a hackerek és fejlesztők, akik segítenek megtalálni és befoltozni a megtalált biztonsági hibákat. Ugyanakkor Kymberlee Price, a Bugcrowd biztonsági platform kutatási műveletekért felelős igazgatója szerint nem minden társaságnak megfelelő ez a megoldás. "Sok vállalatnak nincs pénze arra, hogy saját IT-biztonsági csapatot hozzon létre. De gyakran nem is egy teljes munkaidős hackerre van szükségük, hanem csupán az illető idejének 5 százalékára" - fejtette ki a szakember.

"Az ilyenfajta jutalmazás nem több, mint a biztonsági hibák belső kezelésének kiterjesztése." - állítja Price. A Bugcrowd képviselője korábban a Microsoft és Blackberry munka­társa volt, utóbbinál a külső hackerekkel és bizton­sági kutatókkal kapcsolatos kommu­nikációért felelt. A platformot 2012-ben alapították és a fő célja az, hogy a cégek kapcso­latba kerülhessenek a független biztonsági szakér­tőkkel. A lényeg ugyanakkor nem a feltá­ratlan hibák felde­rítésének jutalmazása, hanem a hardverek és a szoftverek mélyebb elemzése, a kódok auditálása. A cég székhelye San Franciscóban van és kérésre egy adatbázisból összeállítja a szükséges csapatot.

Price dolga az, hogy 25 000 programozó elosztását segítse a különböző cégek biztonsági projektjei között. Egy projektre való delegálásnál figyelembe veszik, hogy az adott személyek mennyire voltak aktívak a közelmúltban és hogy sikeresen találtak-e biztonsági hibákat. A programozók pontokat kapnak, ha beszámolókat szállítanak, akinek pedig több pontja van, azt előrébb rangsorolja az adatbázis és ezáltal előbb kerülhet be egy céges együttműködésre ajánlott szakértői csapatba. Persze nem csak ilyen, központilag szervezett projektek vannak, hanem a cégek maguk is felvehetik a kapcsolatot a regisztráltakkal. A portálon csak azok kaphatnak jutalmakat, akik valóban felderítenek hibákat. A kísérletekért nem fizetnek, csak az eredményekért. A biztonsági hibák súlyosság szerint kategorizálják és ezek meghatározzák a kifizetett jutalom összegét is.


A legjobb bugvadászokat igyekeznek egyéb módokon is magukhoz kötni

A hibafeltárási jutalmazási programok a honlapoknál, a mobil alkalmazásoknál és úgy egyébként a szoftvereknél lehetnek hasznosak. De a hálózati infrastruktúra mélyebb elemzése vagy a meg nem jelentetett termékekkel szembeni betörési tesztek sokkal ésszerűbbek lehetnek. Ezek a tesztek zárt keretek és sokkal tisztább körülmények között valósulnak meg. Egy jó hibafeltárási jutalmazási projekt az IT-konzultánsok életét is megkönnyíti, akik így a nagyobb, strukturális gondokra összpontosíthatnak, a kisebb hibák megoldását pedig rábízhatják a külső szakemberekre.

A Bugcrowd legtöbb ügyfele klasszikus techvállalat, de az elmúlt időszakban számos más terület képviselői is megjelentek, elsősorban egészségügyi társaságok. A legmagasabb kifizetett hibafeltárási jutalom eddig 15 000 dollár volt. A platform eddig 1,7 millió dollárt fizetett ki ilyen módon. Vannak ugyanakkor problémák is: a hackerek gyakran úgy érzik, hogy a vállalatok egy biztonsági hibát sokáig nem foltoznak be vagy nem reagálnak elég gyorsan egy jelzésre. A cégek viszont úgy vélik, hogy olyan hibákkal vagy jelentésekkel szembesülnek, amelyek nem kapcsolódnak közvetlenül a valódi üzleti modelljükhöz. Ilyenkor a Bugcrowd megpróbál közvetíteni a felek közötti vitában, de Price szerint ezek ritkák, és általában apróságokról szólnak.

Az oldalon eddig 25 000 hacker és biztonsági szakértő regisztrálta magát, közülük a legjobbak más platformokon is jelen vannak, és őket más módokon is igyekeznek magukhoz kötni. A lemorzsolódást a Bugcrowd úgy próbálja meg orvosolni, hogy fiatal hackereket képez, valamint igyekszik a meglévő partnerek képességein csiszolni. A munkatársak konferenciákra utaznak, előadásokat tartanak és rendszeresen jelentkeznek segítő blogbejegyzésekkel.

Nemrég francia kezdeményezés keretében létrehozták a Bounty Factory-t, amely az Amerikai Egyesült Államokban már működő BugCrowd és HackerOne példáját követi. Az új oldal igyekszik koordinálni a vállalati szakemberek és a külső szakértők munkáját, s átláthatóbbá tenni az egyes biztonsági hibák jelentését.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
Nem érkezett még hozzászólás. Legyél Te az első!