Video: The Second Life Of A CIA Double Agent (Decembris 2024)
Drošības pētnieki, kas specializējas iespiešanās testēšanā, pavada savas dienas (un naktis), mēģinot izjaukt drošības sistēmas. Ja viņi atrod drošības caurumu izstrādājumā, pirms to dara sliktie puiši, tas produkta izstrādātājam dod laiku izlikt plāksteri. Kas tajā ir par pētnieku? Varbūt 100 000 USD liela kļūda, ja problēma bija saistīta ar Microsoft produktu. Drošības pakalpojumu un iekļūšanas pārbaudes firmas High-Tech Bridge pētnieki ziņo, ka Yahoo piedāvā arī kļūdu veltes. Pirmais pārbaudāmās drošības kļūdas ziņotājs saņem… USD 12, 50, ko var atmaksāt tikai Yahoo uzņēmuma veikalā par "korporatīvajiem t-krekliem, krūzes, pildspalvām un citiem aksesuāriem". Tiešām, Yahoo?
Ātri krekinga
Vietne Drošība vietnē Yahoo ziņo par drošības pasākumiem, ko uzņēmums jau veicis, kā arī ar padomu kolekciju. Personas, kuras domā, ka viņu konti ir uzlauzti vai apdraudēti, var sazināties ar Yahoo no šīs lapas, lai saņemtu palīdzību. Tajā arī teikts: "Ja esat drošības kopienas loceklis un jums jāziņo par tehnisku ievainojamību, sazinieties ar: [email protected]."
Lai novērtētu Bug Bounty sistēmu, High-Tech Bridge pētnieki apsēdās un sāka meklēt drošības caurumus Yahoo vietnēs. Viņi vienu uzreiz atrada, bet par to jau tika ziņots. Citu pāris dienu laikā viņi atrada vēl trīs vietņu skriptu ievainojamības, visas jaunas. (Vai tas pats par sevi nav mazliet satraucošs?) Saskaņā ar ziņojumu: "Katra no atklātajām ievainojamībām ļāva tikt apdraudētam jebkuram @ yahoo.com e-pasta kontam, vienkārši nosūtot speciāli izveidotu saiti reģistrētam Yahoo lietotājam." Kad lietotājs noklikšķina uz šīs saites, tā ir beigusies.
Paši Yahoo pētnieki pārbaudīja, vai šīs ievainojamības patiešām pastāv (kopš tā laika tās ir novērstas). Viņi piedāvāja izpētes komandai sirsnīgu pateicību un balvu USD 12, 50 par kļūdu, ko var izpirkt uzņēmuma veikalā. Pētnieki nebija iespaidoti; ziņojumā teikts: "Šajā brīdī mēs nolēmām pārtraukt turpmāku izpēti."
Lielāki maksājumi
Par dažiem pārskatiem Microsoft maksās USD 100 000 lielu prēmiju. Facebook ir izmaksājis vairāk nekā miljonu dolāru. Apple nemaksā par kļūdu samaksu, bet par “atbildīgu atklāšanu” apbalvo ar slavu. Man šķiet, ka Apple bezskaidras naudas slavas politika ir labāka nekā grautiņu maiņas piešķiršana.
"Yahoo, iespējams, būtu jāpārskata viņu attiecības ar drošības pētniekiem, " komentēja Ilia Kolochenko, High-Tech Bridge izpilddirektore. "Maksāt vairākus dolārus par ievainojamību ir slikts joks un tas nemotivēs cilvēkus ziņot viņiem par drošības ievainojamībām, it īpaši, ja šādas ievainojamības var viegli pārdot melnajā tirgū par daudz augstāku cenu." Viņš secina: ja Yahoo vairāk netērēs korporatīvajai drošībai, "neviens no Yahoo klientiem nekad nevar justies drošs."
Citi uzņēmumi ir pieprasījuši prodding, lai saprastu, ka kļūdu kļūda atmaksājas lielu laiku. Pirms dažiem gadiem Facebook piedāvāja tikai USD 500. Pavisam nesen viens pētnieks, kuram Facebook liedza dotības, parādīja savu atklājumu, izliekot to uz Marka Zukerberga sienas. Braiens Martins, Atvērtās drošības fonda prezidents, atzīmēja, ka "pat Microsoft, kurš bija visbēdīgi slavenākais kļūdu pievilināšanas programmu kavētājs, saprata vērtību un pārlēca priekšā pārējiem, piedāvājot līdz 100 000 USD." Viņš turpināja: "Daži no šiem uzņēmumiem maksā saviem sētniekiem vairāk naudas savu biroju tīrīšanai, nekā viņi veic drošības pētniekus, kuri atklāj ievainojamības, kas var apdraudēt tūkstošiem viņu klientu."
Man jāpiekrīt. Ja pārdevēji nemaksās par drošības pētnieku atklājumiem, noteikti ir citi, kas to darīs. Mēs nevēlamies, lai šie gudrie pētnieki pievērstos Tumšajai pusei, lai pabarotu savus bērnus.
