Berta Sándor

Akár 250 000 dollárt is érhet egy Windows-hiba felderítése

Míg Magyarországon a T-Systems börtönnel jutalmazza egy hiba bejelentését, a Microsoft hatalmas összeget fizet érte.

A redmondi konszern bejelentette a Windows Bounty Programot, amelynek keretében drasztikus mértékben megnövelte a felfedezett és jelentett hibákért kifizetett összegeket. Ezzel a lépéssel a cég célja, hogy a sebezhetőséget feltérképezők ne harmadik félnek adják el a birtokukba jutott információt. A Microsoft nyilvánosságra hozta az egyes programverziókkal és a jutalmak összegével kapcsolatos listát. A jutalom összege függ attól, hogy a biztonsági rés pontosan hol található és mennyire súlyos. A társaság a legtöbb pénzt - akár 250 000 dollárt - a Hyper-V virtualizációs szoftverben felderített súlyosabb hibákért fizet. A Hyper-V többek között része a Windows 10 és a Windows Server operációs rendszernek is. A legkisebb jutalom ebben az esetben 5000 dollár lehet.

A Windows operációs rendszer esetében a biztonsági rések felfedezéséért 500 és 200 000 dollár közötti összeg jár, a Windows Defender Application Guard sebezhetőségeiért minimum 500, maximum 30 000 dollár, míg az Edge böngésző és a Windows Insider Preview hibáiért minimum 500 és legfeljebb 15 000 dollár.

A program határozatlan időre szól, s minden olyan tervezési és kódhibára vonatkozik, amelyek az ügyfelek magánéletét és biztonságát egyaránt érinthetik. A jutalom odaítéléséhez szükség van arra, hogy a bejelentő személy megfelelő dokumentációval támassza alá az észrevételeit és az anyagokból logikus lépésekkel levezethető legyen a biztonsági rés felfedezése. A biztonsági rést és az azzal kapcsolatos információkat az illető nem hozhatja nyilvánosságra. Akkor is jutalmat kap a sebezhetőség külsős felfedezője, ha a hibát a fejlesztők egyébként már ismerték, ilyen esetekben az összeg tíz százalékát utalják át neki.

Az Apple tavaly indította el a biztonsági prémiumprogramját. A társaságnál regisztrált biztonsági kutatók - a hiba súlyosságától függően - akár 200 000 dollárt is kaphatnak, ha jelentik az általuk felfedezett vagy a tudomásukra jutott biztonsági réseket. Júliusban azonban kiderült, hogy eddig csak kevesen használják ki a cég által meghirdetett programot.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • gosub #14
    Kemény 2 órát várt és leadta a drótot az egyik legagresszívabb portálnak. Ahol persze szintén szokásos stílusukban sunyin nem az egész levelet közölték. Itt a téves levél:
    http://static.origos.hu/s/img/i/1707/20170724bkk-level-hacker-valaszhu.jpg?w=644&h=362
    Mikor az első rövid hírt olvastam még engem is felháborított, szegény srác... Aztán jöttek a részletek, hogy végül a csávó, tsystem, index, mindenki csúsztatja a történetet a maga javára.
  • codaco #13
    Ha sunyi csávó lenne, akkor nem szólt volna senkinek, hanem megveszi 50 Ft-ért a bérletet, és továbbadja 5000 Ft-ért.
  • codaco #12
    http://index.hu/belfold/2017/07/24/bkk_etikus_hekker_daboczi_kalman/
  • gosub #11
    Persze a T - system is leszerepelt ebben az esetben biztonságtechnikából .
  • gosub #10
    Miért is? Ez is témája a cikknek. Most olvastam az etikus hekkerhőst ajnározó oldalon egy wifi hekk cikket:
    "A sérülékenység tényét és a részleteit csak azután hozta nyilvánosságra az etikus hekker, hogy az Androidban és az iOS-ben is befoltozták a biztonsági rést." Erkölcsileg a 18 éves emberünk nulla. Hozzáállásával egy fillért sem érdemel, meg azt se hogy etikus hekkernek hívják. Persze a T-system is ebben az esetben biztonságtechnikából.
  • cateran #9
    Ezen mar reg tul vagyunk...szakadj le a Blikkrol...Mind az o emailje a bkk-nak, mint az allitolagos "feltortem a Szerencsejatek zrt"-t "igazolo" email siman lehet PR...

    Mindazonaltal, ha el kellene dontenem melyik oldalra alljak..hmm lassuk csak..adott a BKK meg a T-Systems, akik 1 vagon penzert "fejlesztenek" olyasmit, ami 20 evvel ezelott is gaz lett volna....masik oldalon 1 lehet, hogy balfasz es nyereszkedo, de ettol fuggetlenul hasznosabb munkat vegzo atlag beno..hmm, nehez dontes..ja, nem (1 boneszoben atrihato erteket meg biztonsagi resnek sem neveznek...az nem res...az inkabb 1 kozepkori var kapuja...)
  • Omega #8
    A mi hekkerünk még a twitteren is posztolta a biztonsági rést. Innentől kezdve nem tudom, hogy lehet etikusnak nevezni.
  • gosub #7
    A nyílvánosságra hozott figyelmeztető levelét noreplay emailcímre küldte az okos hekker. Amiben amúgy eldicsekszik hogy a szerencsejáték honlapján pénzt kreált magának és a mávnál is ingyen vett jegyet és 90% pénzvisszaosztós közbeszerzésre is jelentkezik. Sunyul a csávó, a sajtója meg csúsztat, hogy hőst csináljon egy csaló ügyeskedőből. Aki ilyen hülye meg is érdemli, hogy feljelentik és meglátogatták a rendőrök. Amiről persze kiderült, hogy szintén nem pont úgy volt ahogy nagy dirreldurral beharangozták. Ebben már maga a szent etikus hekker viszakozott. Büdös ez az egész sztori.
    Ettől még persze nagyon elcseszték a t-systhemnél.
  • bdzsana #6
    Először a BKK-nak jelezte, majd feljelentették és ezután fordult a sajtóhoz, de lehet én tudom rosszul.
    Abban mondjuk igazad van hogy nem etikus hekker, mert még csak hekkelésnek sem mondtható ha csak úgy a vételárat át lehet írni:)
  • kékherceg #5
    Nem börtönt? Nahát!