Hibakeresés – módszer a könnyű meggazdagodáshoz?

Nyilván rögtön az elején le kell szögezni: ha rosszindulatú célok vezérlik az embert, busásan lehet keresni egy-egy szoftver korábban még nem dokumentált hiányosságának felfedezésével. Amint arról mi is írtunk, komoly feketepiac jött létre az Interneten, ahol adják-veszik a hackerek által megtalált biztonsági réseket – ezzel havonta akár több tízezer dollárt is le lehet akasztani. Cikkünkben azonban arra keressük a választ, hogy vajon azok, akik a köz céljaira fordítják tapasztalataikat, mennyire profitálhatnak munkájukból.

Christopher Soghoian nemrég jelentette be, hogy egy olyan sérülékenységre bukkant, amelynek kiaknázásával számos Firefox plugin sebezhetőnek bizonyult. Az amerikai, IT-biztonsággal foglalkozó kutató azonban már jóval korábban, a bejelentését megelőző 45 nappal előbb értesítette a Mozilla Foundationt felfedezéséről, és egyben arról is biztosította a céget, hogy másfél hónapig nem fogja közzétenni az értesüléseit. Úgy vélte, hogy ennyi időnek elégnek kell lennie ahhoz, hogy a fejlesztők elkészíthessék a szükséges javítást/frissítést – pénzt azonban nem kért/kapott a munkájáért.

A hibák kutatása azonban nem olyan egyszerű, mint amilyennek tűnik. A nyíltforrású projektek ebből a szempontból jobb helyzetben vannak: forráskódjukba bárki betekinthet, így sokkal többen mondhatnak véleményt róla. A zárt forrású alkalmazásoknál azonban bonyolultabb szituációk adódnak – először ugyanis szükség van a kód visszafejtésére (ezt hívják az angol terminológiában reverse engineeringnek). Ez a cselekedet azonban az Egyesült Államokban – amennyiben a jogtulajdonos engedélye nélkül történik – a Digital Milleniun Copyright Act (DMCA) nevű törvénybe ütközik, amely minden, védett kódot érintő visszafejtést illegálisnak minősít, amennyiben arra nincsen engedélye a próbálkozónak.

Egyik lehetőség tehát az engedélykérés, ami néhány szoftvervállalatnál is komoly akadályokba ütközik: a cégek vezetői nem akarják, hogy más kutakodjon a programjukban. Ezért a biztonsági réseket keresők többnyire olyan független szervezetekbe tömörülnek, amelyek segítenek a fejlesztők és az IT-biztonsági szakemberek közötti párbeszédben. Van azonban, aki bérbe adja tudását: az olyan vállalatok, mint az Idefense, minden megtalált biztonsági résért fizetnek. Ennek összege attól függ, hogy mennyire népszerű szoftvert érint a hiba, és hogy mennyire komoly fenyegetést jelent a megtalált sérülékenység. Az Idefense ugyanis továbbértékesíti az így szerzett tudást a vállalatoknak, akik többnyire szívesen áldoznak büdzséjükből arra, hogy a „fehérkalapos” hackerek által fellelt sebezhetőségről tudomást szerezzenek – inkább, minthogy a „feketekalapos” hackerek megtámadnák felhasználóikat, és ezzel presztízsveszteséget okozzanak a cégnek.

Ismert egy olyan eset, amikor az USA kormányzata 50 ezer dollárt fizetett ki egy kutatónak – ez azonban ritka, gyakoribb, hogy csak pár száz dollárt kap a munkájáért a felfedező, esetleg néhány ezer dollár üti a markát. Megélni tehát nem igazán lehet a „jó oldalon”, ha a hibavadász magányosan folytatja tevékenységét – a szakmai tudást csak ritka esetekben becsülik meg annyira, hogy a felfedezőnek ez biztosítsa az anyagi függetlenséget.