Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Naukowcy zachęcają do płacenia za luki 0-day

10 lipca 2013, 19:00 | Aktualności | komentarze 4

Badacze z Uniwersytetu Kalifornijskiego w Berkeley wzięli w ostatnim czasie pod lupę komercyjne programy poszukiwania nowych podatności. Jak wykazała analiza, płacenie za informacje o nieznanych do tej pory błędach daje praktycznie same korzyści.

Jeszcze kilka lat temu specjalne programy zachęcające do komercyjnego poszukiwania nowych podatności (ang. Bug Bounty Programs lub Vulnerability Rewards Programs) prowadzone przez samych producentów oprogramowania były rzadkością. Dziś już nikogo takie inicjatywy nie dziwią. Co więcej, nawet nieugięty do tej pory w kwestii wynagradzania odkrywców nowych luk Microsoft, w ostatnim czasie zmienił zdanie.

Producentom takie podejście pozwala na załatanie podatności zanim staną się one powszechnym zagrożeniem dla użytkowników, natomiast łowcy błędów mogą otrzymać legalne wynagrodzenie za swą pracę wymagającą nietuzinkowych umiejętności. Wszystko wskazuje na to, że czasy poszukiwania podatności jedynie w celu sprawdzenia własnych umiejętności odchodzą do lamusa, a producenci coraz chętniej będą płacić za tego typu informacje.

Czy jednak takie podejście do tematu poszukiwania nieznanych wcześniej podatności jest dla producentów rzeczywiście opłacalne? Wszakże kwoty wypłacane przez wielkie korporacje odkrywcom krytycznych błędów mogą sięgać nawet 150 tys. USD! Jak się okazuje, ma to praktycznie same zalety.

Badacze z Uniwersytetu Kalifornijskiego w Berkeley przeanalizowali programy komercyjnego poszukiwania podatności oferowane przez Google oraz Mozillę dla przeglądarek Chrome i Firefox. Najważniejsze wnioski są takie, że wspomniane inicjatywy są bardzo skuteczne oraz niezwykle efektywne kosztowo.

Google Application Security — przykładowe wynagrodzenia

Google Application Security — przykładowe wynagrodzenia

W ciągu ostatnich trzech lat program Chrome VRP kosztował firmę Google 580 tys. USD, jednak zaowocował odkryciem 501 podatności. W tym samym okresie w ramach Firefox VRP wypłacono 570 tys. USD za 190 podatności. Po pierwsze wygląda więc na to, że program giganta z Mountain View wzbudza większe zainteresowanie, co jest najprawdopodobniej związane w tym wypadku z różnicowaniem wysokości wypłat (potencjalna możliwość uzyskania wysokiej wypłaty przyciąga wielu badaczy).

W przypadku tradycyjnego zatrudnienia eksperta specjalizującego się w poszukiwaniu podatności wspomniane kwoty wystarczyłyby zaledwie na opłacenie jednego etatu (w USA koszt rocznego zatrudnienia eksperta w branży IT to około 150 tys. USD). W takim wypadku wyniki z pewnością byłyby jednak znacznie mniej spektakularne.

Both programs appear economically efficient, comparing favorably to the cost of hiring full-time security researchers. The Chrome VRP features low expected payouts accompanied by high potential payouts, a strategy that appears to be effective in engaging a broad community of vulnerability researchers.

Siłą rzeczy wielu niezależnych badaczy jest w stanie odnaleźć znacznie więcej potencjalnych problemów, niż nawet najlepszy pojedynczy ekspert. Programy VRP mają również inne zalety, zmniejszają ilość exploitów 0-day sprzedawanych na czarnym rynku, równocześnie dając łowcom błędów legalne źródło zarobku.

Wszystko wskazuje więc na to, że programy komercyjnego poszukiwania nowych podatności będą coraz powszechniej stosowane, a tego typu analizy mogą tylko pomóc niezdecydowanym firmom w podjęciu ostatecznej decyzji. Dzięki temu końcowi użytkownicy poszczególnych rozwiązań będą mniej narażeni na exploity 0-day grasujące na wolności, a komputerowym przestępcom coraz trudniej będzie znaleźć kod zasilający rozwiązania typu crimeware, czego sobie i wszystkim czytelnikom życzymy.

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Mat

    Chyba powinno być „Uniwersytet Kalifornijski w BERKELEY”

    Odpowiedz
  2. dll

    Wiem, że jest dużo osób które utrzymują się z BM, ale czy są osoby które żyją z programów bug bounty ? ciekawe :-)

    Odpowiedz
  3. bl4de

    Chyba znalazłem swoją „pracę marzeń”….. :D :D :D

    Odpowiedz

Odpowiedz