Dotkom
Jelentsünk hibákat, pénzért
A 3Com részeként működő Tippingpoint minden új biztonsági hiba bejelentéséért, amelyet elsőként a cég előtt tárnak fel, anyagi ellenszolgáltatást ajánl.
Az austini (Texas) vállalat behatolás-megelőző rendszerek értékesítésével foglalkozik, amelyeket kifejezetten a sebezhetőségekkel szembeni védekezésre fejlesztenek. Legyen szó akár szerverekről, akár asztali számítógépekről vagy más komputerekről, a szervezeti hálózatok védelmét igyekszik ellátni a cég. Ezt kívánja még magasabb szintre emelni az új „Zero day initiative” (Nulladik napi kezdeményezés) programjával, melynek keretei között pénzt ígérnek a hibá(ka)t jelentők számára. A Tippingpoint a bejelentést követően értesíti a hibásnak bizonyult termék készítőjét és frissíti saját biztonsági megoldását – így még azelőtt védetté válhatnak a felhasználók, mielőtt egyáltalán megjelenne a hibát eltüntető „gyári” patch.
A hivatalos bejelentésre ma kerül sor, míg szerdán egy Las Vegas-i rendezvényen, a Black Hat Briefings nevű, évente megtartott eseményen fogja népszerűsíteni a kezdeményezést. Ez utóbbit főként IT-biztonsággal foglalkozó szakértők és a téma iránt komolyan érdeklődő laikusok látogatják, így jobb helyet keresve sem találhatott volna a vállalat. A Zero day initiative lehetőséget teremt a hackerek számára (is), hogy legálisan, pénzért vadásszanak szoftverhibákra. Az úgynevezett black hat hackereket (akik visszaélnek az információval) azonban nem látják szívesen a kezdeményezés weboldalán, ahol a bejelentéseket lehet megtenni.
Nemrég indult fejlődésnek a „hibabejelentő piac”, ami egyébként csak a kialakult gyakorlatot követi, s igyekszik a jó oldalra terelni a hibavadászokat. Szakértők szerint ugyanis létezik egy amolyan feketepiac, ahol a hivatalosan még nem ismertetett sebezhetőségek leírását adják-veszik. Az értékesítők pénzt kapnak tudásukért, a vásárlók pedig a teljesen védtelen rendszerek feltörésének lehetőségét kapják pénzükért.
Felismerte ennek jelentőségét már más szervezet is: például az IT-biztonsági fejlesztésekkel foglalkozó iDefense (amelyet korábban a Verisign vásárolt fel), illetve a Mozilla Foundation egyaránt komoly összeggel honorálja a bejelentéseket. Ez utóbbi például 500 dollárt fizet (plusz egy egyedi mozillás pólót ad) minden egyes újonnan bejelentett sebezhetőségért. Amint arról mi is beszámoltunk, ez akár jó kereset-kiegészítés is lehet: egy német kutató, Michael Krax például öt hibát fedezett fel a Firefoxban, amiért összesen 2500 dolláros jutalmat kapott.
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2005/07/25/jelentsunk-hibakat-penzert/" width="800" count="off" num="3" countmsg=""]
