Gyurkity Péter
Pénzért kelnek el a szoftverhibák
A szoftverhibák, sebezhetőségek felfedezése és átadása egyre inkább piaccá alakul át, amelyben nem feltétlenül a fejlesztő cég értesül először a problémáról. A szoftvercégek mellett a bűnözők és a hatóságok is érdeklődnek ilyen felfedezések iránt.
Nemrég számoltunk be arról, hogy a szoftverhibák értékesítésének megkönnyítésének és egyben biztosításának céljából online aukciós oldal alakult, amely főként azt szeretné megakadályozni, hogy a sebezhetőségekre rögtön bűnözők tegyék rá a kezüket. A friss hírek szerint azonban egyre több kutatót is érdekel az ebben rejlő anyagi lehetőség és egyre kevésbé tűnik biztosnak az, hogy a szoftverfejlesztő cégek kapják a prioritást. Ez főként annak köszönhető, hogy számos szoftvercég nem hajlandó fizetni a felfedezett és átadott hibákért, mivel attól tartanak, hogy ezzel maguk is hozzájárulnak egy új piac kialakulásához. Itt már egyedül az ajánlat számít és az kapná meg a frissen felfedezett sebezhetőségekről szóló információt, aki a legtöbbet kínál érte. Az ellenkezés miatt a szoftvercégek mellett egyre inkább előtérbe kerülnek az online bűnözői csoportok, amelyek szintén beszálltak a felvásárlásba, illetve a különböző nemzetbiztonsági ügynökségek és titkosszolgálatok, amelyek nagyon is érdeklődnek az ilyen hibák iránt.
Előbbiek természetesen új kártevők megírásához használják fel a szoftverhibákat, míg az utóbbi csoport tagjai különböző kiterjedt internetes vizsgálatok, online házkutatások és egyéb nyomozások megkönnyítése miatt hajlandóak hibákat vásárolni. Az NSA egyik korábbi tagja ezzel kapcsolatban elárulta, hogy az egyik amerikai ügynökség 50 ezer dollárt fizetett volna neki egy ilyen sebezhetőségért cserébe - a vevő beazonosítása azonban időt vett igénybe, ezalatt pedig kijavították a hibát.
Természetesen több biztonsági cég és szoftverfejlesztő igyekszik megakadályozni a folyamat elanyagiasodását, illetve a bűnözők esélyeinek növekedését. Az iDefense például saját programot indított be Vulnerability Contributor Program néven, amelyben jutalmazzák a hibákat átadó szakembereket. Mások szintén ebben látják a kiutat, vagyis egyetértenek abban, hogy a hibákat felfedező magánszemélyeket valamilyen formában jutalmazni kell.
Nemrég számoltunk be arról, hogy a szoftverhibák értékesítésének megkönnyítésének és egyben biztosításának céljából online aukciós oldal alakult, amely főként azt szeretné megakadályozni, hogy a sebezhetőségekre rögtön bűnözők tegyék rá a kezüket. A friss hírek szerint azonban egyre több kutatót is érdekel az ebben rejlő anyagi lehetőség és egyre kevésbé tűnik biztosnak az, hogy a szoftverfejlesztő cégek kapják a prioritást. Ez főként annak köszönhető, hogy számos szoftvercég nem hajlandó fizetni a felfedezett és átadott hibákért, mivel attól tartanak, hogy ezzel maguk is hozzájárulnak egy új piac kialakulásához. Itt már egyedül az ajánlat számít és az kapná meg a frissen felfedezett sebezhetőségekről szóló információt, aki a legtöbbet kínál érte. Az ellenkezés miatt a szoftvercégek mellett egyre inkább előtérbe kerülnek az online bűnözői csoportok, amelyek szintén beszálltak a felvásárlásba, illetve a különböző nemzetbiztonsági ügynökségek és titkosszolgálatok, amelyek nagyon is érdeklődnek az ilyen hibák iránt.
Előbbiek természetesen új kártevők megírásához használják fel a szoftverhibákat, míg az utóbbi csoport tagjai különböző kiterjedt internetes vizsgálatok, online házkutatások és egyéb nyomozások megkönnyítése miatt hajlandóak hibákat vásárolni. Az NSA egyik korábbi tagja ezzel kapcsolatban elárulta, hogy az egyik amerikai ügynökség 50 ezer dollárt fizetett volna neki egy ilyen sebezhetőségért cserébe - a vevő beazonosítása azonban időt vett igénybe, ezalatt pedig kijavították a hibát.
Természetesen több biztonsági cég és szoftverfejlesztő igyekszik megakadályozni a folyamat elanyagiasodását, illetve a bűnözők esélyeinek növekedését. Az iDefense például saját programot indított be Vulnerability Contributor Program néven, amelyben jutalmazzák a hibákat átadó szakembereket. Mások szintén ebben látják a kiutat, vagyis egyetértenek abban, hogy a hibákat felfedező magánszemélyeket valamilyen formában jutalmazni kell.