General Motors spodbuja prijavo hroščev
Matej Huš
9. jan 2016 ob 00:20:10
Avtomobili s svojo elektroniko postajajo čedalje pametnejši, pa četudi sploh še niso samovozeči. Zato je dobrodošla odločitev General Motorsa, da kot prvi klasični proizvajalec avtomobilov (Tesla ga je že prehitel) razpiše program za prijavo hroščev in ranljivosti, ki jih raziskovalci in hekerji odkrijejo v njihovih vozilih.
Tu ne gre za nedolžne luknje, kar sta poleti pokazala raziskovalca, ki sta uspela prevzeti popoln nadzor nad Jeepom Cherokeejem. To je bil le najbolj znan napad na ranljivost v vozilu, sicer pa imajo večje ali manjše luknje praktično vsi avtomobili. Doslej je bil odziv proizvajalcev napadalen, saj so grozili s tožbami, zato se večina raziskovalcev niti ni odločala za razkritje kakršnikoli najdenih ranljivosti.
Zato je razveseljujoča odločitev General Motorsa, da v sodelovanju s Hackerone odprejo program za prijavo ranljivosti (bug bounty). Za zdaj ne ponujajo nobenih materialnih nagrad, vseeno pa pričakujejo dober odziv skupnosti. Zavezali so se, da prijaviteljev ranljivosti in lukenj v General Motorsovih vozilih ne bodo sodno preganjali, če se bodo držali osnovnih smernic in ne bodo kršili zakonov. Chris Valasek, ki je eden izmed dvojice v omenjenem napadu na Jeep Cherokee, je GM-jevo potezo označil kot korak v pravo smer. Dodal je, da ni pretirano navdušen nad nagradami, je pa zadovoljen, da bo General Motors odgovorno sprejemal ranljivosti v svojih izdelkih in jih krpal.
Ena izmed prvih je bila Tesla, ki je lani razpisala podoben program, le da ima tudi finančne nagrade. Nekaj podobnega ima tudi United Airlines, le da ne iščejo napak v letalih, temveč na spletnih straneh in drugi računalniški infrastrukturi na zemlji. Nagrajevali bodo v miljah. Podobni projekti Googla, Yahooja, Facebooka in ostalih računalniških velikanov pa so že stalnica, kjer so tudi nagrade lahko občutno (nekaj tisočakov za največje ranljivosti).