Pörög a biztonsági rések elleni hadjárat

A szoftverekben, online szolgáltatásokban sebezhetőségek után vadászó szakembereket egyre nagyobb jutalmak várják. A Goolge és a Microsoft is emelte a tétet.

A Microsoft 2014-ben indította útjára az Online Services Bug Bounty programját, amelynek keretében egyes netes szolgáltatásaiban feltárt sérülékenységek után kezdett jutalmat osztani. 2015 áprilisában, illetve 2015 augusztusában e programját kiterjesztette az Azure-ra és az Office 365-re, majd tavaly úgy határozott, hogy a OneDrive-ban is lehet biztonsági rések után kutakodni. A felfedezett és szabályszerűen jelentett sebezhetőségekért eddig 500-15.000 dollár közötti összeget fizetett annak függvényében, hogy az adott hiba milyen fokú kockázatot jelentett a rendszereire, illetve a felhasználói adatokra nézve. Nemrégen azonban e díjakat megduplázta, így akár 30 ezer dollár is ütheti a markát annak, aki valóban veszélyes sérülékenységet tár fel az alábbi domaineken működő szolgáltatásokban:
portal.office.com
outlook.office365.com
outlook.office.com
*.outlook.com
outlook.com.

A Google sem akar lemaradni

A Microsofttal szinte egy időben a Google is jelezte, hogy VRP (Vulnerability Rewards Program) programjában megemeli a jutalmakat. A legsúlyosabb, jogosulatlan távoli kódfuttatást lehetővé tevő sebezhetőségekért eddig 20 ezer dollárt adott, ám mostantól ez az összeg már 31.337 dollár. E sérülékenységek közé tartoznak azok a biztonsági rések, amelyek – akár a sandbox védelem megkerülésével – jogosulatlan rendszerhozzáférést biztosíthatnak olyan érzékeny szolgáltatások és megoldások esetében, mint amilyen például a Google Search, az Accounts, a Wallet, a Chrome Web Store, valamint a Google Play.

A második kategóriába azok a sebezhetőségek tartoznak, amelyek XXE és SQL injection típusú támadásokat tehetnek lehetővé sandboxszal nem védett technológiák esetében. Eddig ezek a hibák 10 ezer dollárt értek, de mostantól a jutalom már 13.337 dollár.

Előnyben a nyílt forráskód

Az úgynevezett bug bounty programok háza táján további érdekes fejlemény, hogy a HackerOne immár ingyenesen nyújtja a nyílt forráskódú alkalmazások számára a Pro szolgáltatáscsomagját. Ennek keretében biztosított a sérülékenységek nyomon követése, az elemzések készítése, a sérülékenyégekkel kapcsolatos feladatok koordinálása, valamint a duplikációk detektálása is. A HackerOne-on jelenleg is több nyílt forráskódú megoldáshoz (GitLab, Ruby, Rails, Phabricator, Sentry, Discourse, Brave, Django) lehet jelezni sebezhetőségek, de úgy tűnik, hogy az üzemeltetők még jobban fel szeretnék pörgetni a szolgáltatást az új Community Edition révén. Ebbe azok az alkalmazások kapcsolhatók be, amelyek legalább három hónapja aktívak, és rendelkeznek valamely Open Source Initiative (OSI) licenccel.