» »

Nagrajevanje ranljivosti učinkovitejše in cenejše od zaposlovanja

Nagrajevanje ranljivosti učinkovitejše in cenejše od zaposlovanja

Slo-Tech - Raziskava, ki so jo opravili na Univerzi Berkeley, kaže, da je nagrajevanje odkritih varnostnih ranljivosti zelo učinkovita in poceni metoda za iskanje lukenj v programski opremi. V študiji so analizirali programa, ki ju izvajata Mozilla in Google. V zadnjih treh letih je Google iz tega naslova izplačal 580.000 dolarjev, Mozilla pa 570.000 dolarjev. To se sliši mnogo, a v resnici gre za drobiž. Če računamo, da bi morali vrhunskega strokovnjaka plačati od 100.000 dolarjev letno naprej, da bi to počel v podjetju, ugotovimo, da bi s tem zneskom Google lahko zaposlil enega ali kvečjemu dva človeka. Tako pa so za isti znesek dosegli, da jim je kodo prečesavalo ogromno ljudi. In več glav več ve.

A tudi razdeljevanja denarja na tak način ima svoje finese. Mozilla plačuje fiksnih 3000 dolarjev, če je ranljivost kolikor toliko pomembna, medtem ko Google znesek prilagaja dejanski zahtevnosti. Google ponuja od 500 do 10.000 dolarjev, povprečno izplačilo pa je zgolj okoli 1000 dolarjev. A ker je ponujena najvišja nagrada višja, imajo ljudje večjo vzpodbudo za iskanje lukenj v Chromu. Tam so jih odkrili trikrat več kot v Firefoxu (alternativna razlaga bi bila, da je Firefox pač manj luknjast). Hkrati to pomeni, da je manj možnosti, da bodo odkrito ranljivost prodali na črnem trgu, ugotavlja študija. Ta argument je sicer precej majav, saj so cene na črnem trgu za res dobre ranljivosti bistveno višje.

3 komentarji

FlyingBee ::

težko verjamem, da se komu splača nagrajevati ranljivost

Castiel ::

FlyingBee je izjavil:

težko verjamem, da se komu splača nagrajevati ranljivost


seveda da se splača lejga. Manj lukenj kot ima produkt, bolj ga nekateri cenijo. Drugim je mar samo da je UI lep (oziroma tak, da je pač njim všeč) in da dela gladko.

Odpravljanje varnostnih lukenj je nujno medtem ko je odpravljanje napak, zaradi katerih se nekateri pritožujejo na forumih sekundarnega pomena. Oziroma bolj verjetno sploh ni pomembno :D


ps.: damn je težko napisat kak pameten komentar brez da bi zanetil vojno med chrome in ff fanboyi.

Zgodovina sprememb…

  • spremenil: Castiel ()

RejZoR ::

Za tem stoji preprosta logika.

Če imaš v firmi enega ali dva zaposlena, ki skrbita za luknje, ju moraš skoz plačevat plus, sta zgolj dve osebi kar avtomatično omeji pogled na situacijo in imata enostavno manj idej kako bi lahko nekdo nekaj exploital.

Če pa vzameš sistem nagrajevanja pa bo luknje v programih iskalo na tisoče ljudi, na tisoče možnosti, da nekdo nekaj odkrije, nikogar pa ni potrebno plačat dokler ni na mizi rezultatov. Potem se oceni kako resna je luknja in se temu primerno podeli nagrado. Uporabnik je vesel, ker lahko dobro zasluži, firma pa tud ker krpa luknje in pri tem nima konstantnih pretiranih izdatkov. Nagrada je seveda logična, drugače bojo ljudje raje iskali luknje za črni in sivi trg, kjer tud plačujejo za take stvari...
Angry Sheep Blog @ www.rejzor.com


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prvi dan Pwn2Own padle vse tarče

Oddelek: Novice / Varnost
3413049 (9858) MrStein
»

Tudi Microsoft bo plačeval za najdene ranljivosti

Oddelek: Novice / Varnost
134600 (3254) filip007
»

Facebook širi program nagrajevanja odkritih ranljivosti

Oddelek: Novice / Varnost
53508 (2567) Jst
»

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

Oddelek: Novice / Varnost
4018723 (15762) Iatromantis
»

Microsoft odpira četrt milijona dolarjev vreden natečaj

Oddelek: Novice / Varnost
185800 (4248) denial

Več podobnih tem