Video: Currency crisis sending Turkish lira down against US dollar (Oktober 2024)
Varnostni raziskovalci, ki so specializirani za penetracijsko testiranje, svoje dneve (in noči) preživijo v poskusu razbijanja varnostnih sistemov. Če v izdelku najdejo varnostno luknjo, preden to storijo negativci, daje izdelovalcu izdelek čas, da iztisne obliž. Kaj je v tem za raziskovalca? Mogoče je nagrada za napake v vrednosti 100.000 USD, če je bila težava v Microsoftovem izdelku. Raziskovalci na High-Tech Bridge, varnostni službi in podjetju za testiranje penetracije, poročajo, da Yahoo ponuja tudi veliko škodo. Prvi poročevalec preverljivega varnostnega hrošča dobi… 12, 50 dolarja, ki ga lahko unovči samo v Yahoojevi prodajalni podjetja za "korporativne majice, skodelice, pisala in druge dodatke." Res, Yahoo?
Hitro razpokan
Spletna stran Security at Yahoo poroča o varnostnih korakih, ki jih je podjetje že izvedlo, skupaj s zbirko nasvetov. Posamezniki, ki mislijo, da so bili njihovi računi vloženi ali ogroženi, se lahko obrnejo na Yahoo s te strani za pomoč. Navaja tudi: "Če ste član varnostne skupnosti in morate sporočiti tehnično ranljivost, se obrnite na: [email protected]."
Za oceno sistema Bug Bounty so raziskovalci High-Tech Bridge sedli in začeli iskati varnostne luknje na Yahoojevih spletnih mestih. Enega so našli takoj, vendar je bilo že prijavljeno. V naslednjih nekaj dneh so našli še tri ranljivosti za skriptiranje na več mestih, vse nove. (Ali to samo po sebi ni nekoliko zaskrbljujoče?) Kot poroča poročilo, "je vsaka odkrita ranljivost omogočila, da se kateri koli e-poštni račun @ yahoo.com ogrozi preprosto s pošiljanjem posebej izdelane povezave prijavljenemu uporabniku Yahooja." Ko uporabnik klikne to povezavo, je igra končana.
Yahoojevi lastni raziskovalci so potrdili, da te ranljivosti resnično obstajajo (od takrat so bile odpravljene). Raziskovalni skupini so ponudili iskreno zahvalo in nagrado v višini 12, 50 USD na hrošča, ki jo je mogoče unovčiti v prodajalni podjetja. Raziskovalci niso bili navdušeni; Poročilo navaja: "Na tej točki smo se odločili, da bomo odložili nadaljnje raziskave."
Večji Bounties
Microsoft bo za nekatera poročila plačal 100.000 USD. Facebook je izplačal več kot milijon dolarjev. Apple ne izplača obljub hroščem, ampak "odgovorno razkritje" nagradi s slavo. Zdi se mi, da se Applova politika brezgotovinske samo-slave zdi boljša od podeljevanja drobnih sprememb.
"Yahoo naj bi moral revidirati odnose z raziskovalci na področju varnosti, " je komentirala Ilia Kolochenko, izvršni direktor High-Tech Bridge. "Plačevanje več dolarjev na ranljivost je slaba šala in ne bo motiviralo ljudi, da jim poročajo o varnostnih šibkih točkah, še posebej, če je takšne ranljivosti mogoče zlahka prodati na črnem trgu za veliko višjo ceno." Zaključi, da če Yahoo ne porabi več za varnost podjetij, "se nobeden od Yahooovih kupcev ne more počutiti varnega."
Druga podjetja zahtevajo, da se zavedajo, da se hrošči hroščev obrestujejo. Pred nekaj leti je Facebook ponudil le 500 dolarjev. Pred kratkim je en raziskovalec, ki ga je Facebook zanikal, da je svoje odkritje dokazal z objavo na zidu Marka Zuckerberga. Brian Martin, predsednik organizacije Open Security Foundation, je poudaril, da je "celo Microsoft, ki je bil najbolj razvpit pri programih za odpravljanje napak, spoznal vrednost in skočil pred ostale, saj je ponudil do 100.000 dolarjev." Nadalje je dejal: "Nekatera od teh podjetij hišnikom plačujejo več denarja za čiščenje njihovih pisarn, kot pa raziskovalci varnosti, ki najdejo ranljivosti, ki lahko ogrozijo tisoče njihovih kupcev."
Moram se strinjati. Če prodajalci varnostnih raziskovalcev ne bodo plačali za odkritja, bodo zagotovo še drugi. Ne želimo, da se tisti pametni raziskovalci obrnejo na Temno stran, da bi nahranili svoje otroke.
