Slo-Tech - Raziskava, ki so jo opravili na Univerzi Berkeley, kaže, da je nagrajevanje odkritih varnostnih ranljivosti zelo učinkovita in poceni metoda za iskanje lukenj v programski opremi. V študiji so analizirali programa, ki ju izvajata Mozilla in Google. V zadnjih treh letih je Google iz tega naslova izplačal 580.000 dolarjev, Mozilla pa 570.000 dolarjev. To se sliši mnogo, a v resnici gre za drobiž. Če računamo, da bi morali vrhunskega strokovnjaka plačati od 100.000 dolarjev letno naprej, da bi to počel v podjetju, ugotovimo, da bi s tem zneskom Google lahko zaposlil enega ali kvečjemu dva človeka. Tako pa so za isti znesek dosegli, da jim je kodo prečesavalo ogromno ljudi. In več glav več ve.
A tudi razdeljevanja denarja na tak način ima svoje finese. Mozilla plačuje fiksnih 3000 dolarjev, če je ranljivost kolikor toliko pomembna, medtem ko Google znesek prilagaja dejanski zahtevnosti. Google ponuja od 500 do 10.000 dolarjev, povprečno izplačilo pa je zgolj okoli 1000 dolarjev. A ker je ponujena najvišja nagrada višja, imajo ljudje večjo vzpodbudo za iskanje lukenj v Chromu. Tam so jih odkrili trikrat več kot v Firefoxu (alternativna razlaga bi bila, da je Firefox pač manj luknjast). Hkrati to pomeni, da je manj možnosti, da bodo odkrito ranljivost prodali na črnem trgu, ugotavlja študija. Ta argument je sicer precej majav, saj so cene na črnem trgu za res dobre ranljivosti bistveno višje.
Novice » Varnost » Nagrajevanje ranljivosti učinkovitejše in cenejše od zaposlovanja
Castiel ::
težko verjamem, da se komu splača nagrajevati ranljivost
seveda da se splača lejga. Manj lukenj kot ima produkt, bolj ga nekateri cenijo. Drugim je mar samo da je UI lep (oziroma tak, da je pač njim všeč) in da dela gladko.
Odpravljanje varnostnih lukenj je nujno medtem ko je odpravljanje napak, zaradi katerih se nekateri pritožujejo na forumih sekundarnega pomena. Oziroma bolj verjetno sploh ni pomembno :D
ps.: damn je težko napisat kak pameten komentar brez da bi zanetil vojno med chrome in ff fanboyi.
Zgodovina sprememb…
- spremenil: Castiel ()
RejZoR ::
Za tem stoji preprosta logika.
Če imaš v firmi enega ali dva zaposlena, ki skrbita za luknje, ju moraš skoz plačevat plus, sta zgolj dve osebi kar avtomatično omeji pogled na situacijo in imata enostavno manj idej kako bi lahko nekdo nekaj exploital.
Če pa vzameš sistem nagrajevanja pa bo luknje v programih iskalo na tisoče ljudi, na tisoče možnosti, da nekdo nekaj odkrije, nikogar pa ni potrebno plačat dokler ni na mizi rezultatov. Potem se oceni kako resna je luknja in se temu primerno podeli nagrado. Uporabnik je vesel, ker lahko dobro zasluži, firma pa tud ker krpa luknje in pri tem nima konstantnih pretiranih izdatkov. Nagrada je seveda logična, drugače bojo ljudje raje iskali luknje za črni in sivi trg, kjer tud plačujejo za take stvari...
Če imaš v firmi enega ali dva zaposlena, ki skrbita za luknje, ju moraš skoz plačevat plus, sta zgolj dve osebi kar avtomatično omeji pogled na situacijo in imata enostavno manj idej kako bi lahko nekdo nekaj exploital.
Če pa vzameš sistem nagrajevanja pa bo luknje v programih iskalo na tisoče ljudi, na tisoče možnosti, da nekdo nekaj odkrije, nikogar pa ni potrebno plačat dokler ni na mizi rezultatov. Potem se oceni kako resna je luknja in se temu primerno podeli nagrado. Uporabnik je vesel, ker lahko dobro zasluži, firma pa tud ker krpa luknje in pri tem nima konstantnih pretiranih izdatkov. Nagrada je seveda logična, drugače bojo ljudje raje iskali luknje za črni in sivi trg, kjer tud plačujejo za take stvari...
Angry Sheep Blog @ www.rejzor.com
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Prvi dan Pwn2Own padle vse tarčeOddelek: Novice / Varnost | 13766 (10575) | MrStein |
» | Tudi Microsoft bo plačeval za najdene ranljivostiOddelek: Novice / Varnost | 4763 (3417) | filip007 |
» | Facebook širi program nagrajevanja odkritih ranljivostiOddelek: Novice / Varnost | 3661 (2720) | Jst |
» | Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijoneOddelek: Novice / Varnost | 19748 (16787) | Iatromantis |
» | Microsoft odpira četrt milijona dolarjev vreden natečajOddelek: Novice / Varnost | 6050 (4498) | denial |