Video: Suspense: Blue Eyes / You'll Never See Me Again / Hunting Trip (Lokakuu 2024)
Läpäisytestaukseen erikoistuneet turvallisuustutkijat viettävät päivät (ja yöt) yrittäessään rikkoa turvajärjestelmiä. Jos he löytävät tietoturva-aukon tuotteesta ennen kuin pahat pojat tekevät, se antaa tuotteen valmistajalle aikaa painaa korjaustiedosto. Mitä siinä on tutkijalle? Ehkä 100 000 dollarin virhekorvaus, jos ongelma oli Microsoftin tuotteessa. Turvapalveluiden ja tunkeutumisen testausyrityksen High-Tech Bridge -yrityksen tutkijat kertovat, että Yahoo tarjoaa myös virheen palkkion. Ensimmäinen todennettavan tietoturvavirheen toimittaja saa… 12, 50 dollaria, joka voidaan lunastaa vain Yahoon yrityskaupasta "yrityksen t-paitoja, kuppeja, kyniä ja muita lisävarusteita varten". Oikeasti, Yahoo?
Nopeasti säröillä
Suojaus Yahoo -sivulla raportoi yrityksen jo suorittamista turvatoimista sekä kokoelma vinkkejä. Henkilöt, joiden mielestä heidän tilinsä on hakkeroitu tai vaarannettu, voivat ottaa yhteyttä Yahooon tällä sivulla saadaksesi apua. Siinä todetaan myös: "Jos olet tietoturvayhteisön jäsen ja sinun on ilmoitettava teknisestä haavoittuvuudesta, ota yhteyttä: [email protected]."
Arvioidakseen Bug Bounty -järjestelmää High-Tech Bridge -tutkijat istuivat ja aloittivat tietoturva-aukkojen etsimisen Yahoon verkkosivuilla. He löysivät yhden heti, mutta siitä oli jo ilmoitettu. Muutaman päivän kuluessa he löysivät vielä kolme sivustonvälistä komentosarjojen haavoittuvuutta, kaikki uudet. (Eikö se ole itsessään hiukan hälyttävää?) Raportin mukaan "Jokainen havaituista haavoittuvuuksista antoi minkä tahansa @ yahoo.com-sähköpostitilin vaarantua yksinkertaisesti lähettämällä erityisen muotoillun linkin kirjautuneelle Yahoo-käyttäjälle." Kun käyttäjä napsauttaa linkkiä, se on ohi.
Yahoon omat tutkijat vahvistivat, että nämä haavoittuvuudet todella olivat (ne on sittemmin korjattu). He tarjosivat tutkimusryhmälle sydämellisen kiitoksen ja palkinnon 12, 50 dollaria viasta, joka voidaan lunastaa yrityskaupasta. Tutkijat eivät olleet vaikutelmia; raportti toteaa, "Tässä vaiheessa päätimme jatkaa lisätutkimuksia."
Suurempia palkkioita
Microsoft maksaa 100 000 dollarin palkkion tietyistä raporteista. Facebook on maksanut yli miljoona dollaria. Apple ei maksa virheitä, mutta palkitsee "vastuullisen paljastamisen" maineella. Minulle Applen ei-käteinen pelkkä maine -politiikka vaikuttaa paremmalta kuin palkkion vaihdon myöntäminen.
"Yahoon pitäisi todennäköisesti tarkistaa heidän suhteensa turvallisuustutkijoihin", kommentoi High-Tech Bridgen toimitusjohtaja Ilia Kolochenko. "Useiden dollarien maksaminen haavoittuvuutta kohden on huono vitsi, eikä se motivoi ihmisiä ilmoittamaan heille tietoturvahaavoista, etenkin kun tällaisia haavoittuvuuksia voidaan helposti myydä mustilla markkinoilla huomattavasti korkeammalla hinnalla." Hän päättelee, että jos Yahoo ei kuluta enemmän yritysturvallisuuteen, "kukaan Yahoon asiakkaista ei voi koskaan tuntea olonsa turvalliseksi."
Muut yritykset ovat vaatineet proddingia ymmärtääkseen, että vikailmoitukset maksavat suuria aikoja. Muutama vuosi sitten Facebook tarjosi vain 500 dollaria. Äskettäin yksi tutkija, jonka Facebook ei edes antanut palkkioita, osoitti löytönsä lähettämällä Mark Zuckerbergin seinälle. Avoimen turvallisuuden säätiön presidentti Brian Martin totesi, että "jopa Microsoft, joka oli pahamaineisimpana virheiden palkkio-ohjelmien ylläpitäjänä, tajusi arvon ja hyppäsi loput edellä tarjoamalla jopa 100 000 dollaria." Hän jatkoi: "Jotkut näistä yrityksistä maksavat talonmiehilleen enemmän rahaa toimistojensa siivoamiseen kuin turvallisuustutkijat löytävät haavoittuvuuksia, jotka saattavat vaarantaa tuhansia heidän asiakkaitaan."
Minun on hyväksyttävä. Jos myyjät eivät maksa turvallisuustutkijoiden havainnoista, on varmasti muitakin. Emme halua näiden taitavien tutkijoiden kääntyvän Pimeään puoleen ruokkiakseen lapsiaan.
