Yahoo bo začel nagrajevati ranljivosti z več kot le majicami
Matej Huš
5. okt 2013 ob 15:37:13
Najdražji in najbolj nehvaležen del pisanja programske opreme je testiranje in iskanje ranljivosti. Neposredne dodane vrednosti to ne prinaša, zgolj stroške, a lahko prihrani velike stroške v prihodnosti. Podjetja poizkušajo to delo naprtiti zunanjim izvajalcem na različne načine, pri čemer je eden izmed najučinkovitejših načinov nagrajevanje ranljivosti. Nekaj stotakov ali tisočakov za odkrito ranljivost je malenkost v primerjavi s ceno, ki bo jo imel redno zaposleni strokovnjak ali bolje cela armada takih ljudi v podjetju. Zato ni presenetljivo, da imajo Facebook, Google, Mozilla, Microsoft in številna druga podjetja posebne programe (bug bounty), kako finančno nagradijo prijavljene ranljivosti.
Yahoo pa tega doslej ni imel. Kdor je Yahooju poslal podatke o ranljivosti, je od podjetja dobil kratek hvala, to pa je bilo tudi vse. Ramses Martinez, vodja Yahoojeve varnostne skupine, je na lastno pest začel ljudem, ki so odkrili kakšno ranljivost, pošiljati Yahoojeve majice in bone za 12,5 dolarja za nakup Yahoojevega materiala. Vse to je skupina sfinancirala sama in na lastno pest. Kot je dejal Martinez, niso imeli nobenega formalnega programa za nagrajevanje odkritih ranljivosti, le sam je želel storiti lepo gesto.
Pot v pekel je tlakovana z dobrimi nameni. Ko je švicarsko podjetje High-Tech Bridge za odkrito ranljivost v XSS (cross-site scripting) prejelo le bon v višini 12,5 dolarja, se je nad Yahoo zgrnilo ogorčenje spletne javnosti, da gre za norčevanje. Zato je Martinez že vnaprej obelodanil spremenjeno politiko, ki bo začela veljati novembra, in pojasnil, od kod so se vzele majice. Yahoo bo vzpostavil formalno nagrajevanje ranljivosti v višini 150-15.000 dolarjev, odvisno od resnosti in zapletenosti. Še več, veljala bo retroaktivno, tako da bodo nagrade prejeli tudi vsi tisti, ki so napake javili po 1. juliju, pa jim je Yahoo poslal le majico.