Bloomberg - Facebook se je lani pridružilGooglu in Mozilli ter začel finančno nagrajevati odkrite ranljivosti. Kdor v njihovih izdelkih najde kakšno luknjo in jo javi Facebooku, lahko prejme od 500 do 10.000 dolarjev, odvisno od resnosti odkrite ranljivosti. Do danes so razdelili že 400.000 dolarjev. Sedaj pa se je Facebook odločil, da bodo svoj program razširili in začeli nagrajevati tudi posameznike, ki bodo odkrili luknje v Facebookovem notranjem komunikacijskem omrežju (torej v informacijski hrbtenici podjetja) in ne le v končnih izdelkih.
To odločitev je vzpodbudil majski dogodek, ko so dobili poročilo, da je nekdo odkril veliko luknjo v njihovem notranjem omrežju. Hitro so jo zakrpali, nato pa so se odločili, da prijavitelja nagradijo. Vse skupaj je sedaj uradno, saj so program razširili. Zgornje meje niso postavili, tako da lahko milijonov dolarjev vredna luknja dejansko prinese milijon dolarjev nagrade, pojasnjuje Ryan McGeehan, ki v Facebooku vodi enoto za varnostne incidente. Niso sicer povedali, kdo bo vrednost luknje določil, a v vsakem primeru svojo ceno postavi tudi črni trg. Tam se z odkritimi ranljivostmi živahno trguje in če želi Facebook konkurirati tem kanalom (in ne le upati na viteštvo hekerjev), mora imeti vsaj primerljive cene.
Vodilni pri nagrajevanju je Google, ki je do danes izplačal že več kot milijon dolarjev za odkrite luknje v Chromu. Mozilla je razdelila okoli 600.000 dolarjev, Facebook pa 400.000 dolarjev. Bistvena razlika pa ostaja, da Google eksplicitno prepoveduje odkrivanje in poročanje ranljivosti v njihovem internem omrežju, za kar vas lahko tudi pravno preganjajo. Mozilla tu nima mnenja, a teh ranljivosti ne nagrajuje. Facebook pa se je odločil za diametralno nasproten pristop. To je razumljivo, saj imajo skoraj milijardo uporabnikov, kar predstavlja eno največjih zbirk osebnih podatkov na svetu. Če bi jim ta ušla, bi poleg ugleda to pošteno osušilo tudi Facebookov bančni račun. A po drugi strani so sedaj izzvali prav vse hekerje, da poiščejo ranljivosti v njihovih omrežjih.
Meni se pa te zneski zdijo nekam majhni - glede na velikost podjetij in njihov income, bi pričakoval kakšno nulo več na koncu.
Googlov javni nastop, ki prepoveduje odkrivanje ranljivosti po njihovi hrbtenici, se mi zdi še bolj zgrešen. OK, da javno ne vabijo "zlomite naš sistem" razumem, ampak bolj se mi zdi, da če nekdo odkrije ranljivost in to sporoči Googlu, ga ne bodo šli tožiti, kakor uradno pravijo, ampak bo dobil lep kupček denarja in NDA.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
Seveda da ga bodo šli tožit. Prej ali slej bi se razvedelo, da je našel ranljivost in za to dobil nagrado in s tem da bi ga nagradili bi efektivno "vabili" hekerje, da naj zlomijo sistem. Drugače se pa tudi meni zdijo tile zneski nekam niski, google malo če milijon vse skupaj? Verjetno je ena luknja vredna več na črnem trgu.
PS: šele sedaj sem "skapiral", kaj si naj bi NDA pomenilo - non disclosure agreement, spet po slo-tech-ovsko z kraticami in url-ji, namesto da bi v enem sestavku napisal kar misliš brez raznih kratic, sploh če niso takoj jasne kaj naj bi pomenile. Pišeš v slovenščini in navajaš kratico, ki je v angleščini.
PPS: moj PS ni letel konkretno samo na uporabnika Jst, ampak na vse uporabnike, ki to radi počnejo z raznimi IMO, IMHO, IIRC, ATM, FUD, ... da omenim samo nekaj najbolj pogostih in nepotrebnih, kaj šele kakšne težje, da človek še s pomočjo googla ne more biti prepričan kaj avtor komentarja mislil v komentarju. Opažam pa, da je tega zadnje čase veliko manj.
There are 10 types of people. Those who understand binary and those who don't.
lunamit: jaz sem freelance programer, ki sem večkrat delal projekte tudi za in v tujini. Vedno se podpiše NDA (tudi v Slo). To je zame splošna beseda, ki jo pišem iz podzavesti.
Imaš pa prav glede kratic - se strinjam s teboj. Mene tudi motijo, ker sploh starejši, velikokrat nimamo pojma, kaj kakšna kratica pomeni in moraš vprašati stica googla. To pa moti branje odgovorov in potem včasih čisto fališ point, ki ga je človek hotel povedati.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
