(2010. augusztus 23.)
    - Computerworld nyomán -

Fukar kezekkel mérsz, de hisz nagy úr vagy!
Csütörtökön tíz különböző biztonsági rést foltozott be csendben a Google cég, a Chrome program gyártója. Azt, hogy pontosan mit is javítottak a webböngészőben, egy ideig még nem hozzák nyilvánosságra, mert időt akarnak hagyni a felhasználók számára a verzió-frissítéshez.

A most megjelent hibajavítások megírása ettől függetlenül bizonyára sokba került a kereső-szolgáltatásáról elhíresült óriáscégnek - de a programozóknak munkát adó fehérkalapos hackerek ebből csak keveset látnak viszont jutalomként.

A négy kihasználható rést titokban beküldő Szergej Glazunov összesen 4,674 dollárt kaszálhatott, mert a Google biztonsági csapata két általa felfedezett hibát is a legsúlyosabb és legsürgősebb kategóriába sorolt. A kutató ezzel jogosulttá vált az 1,337 dolláros fődíjra, a hackerek egyedi írásmódjában ugyanis ez a szám a leet, azaz elit szó megfelelője.

Keveset adnak a tiltott tudás almájáért
Egy "kuzzcc" álnéven ismert kutató mindössze kétezer dollárt kapott két Chrome hibaleírásért, így ő jól tette, hogy a rivális Opera böngésző készítőinek küldött biztonsági bejelentésekkel is kiegészítette szakmai portfolióját. Általában elmondható, hogy a Google által eddig összesen 21 hibáért kifizetett 14,846 dollár háromnegyede négy hacker között oszlik meg - a többiek tehát csak a mérsékelt jelentőségű sebezhetőségekért járó, 500 dolláros kis díjat kapták.

A milliomosokkal teli kaliforniai Szilikon-völgyben ennyi pénzzel aligha lehet virítani, így a program célja nyilvánvalóan az, hogy a volt szocialista vagy fejlődő országokban dolgozó hackereket próbálja meg jutalom ígéretével a jó oldalon tartani - őket ugyanis kiemelten veszélyezteti a szervezett online bűnözés csábítása.

Egyeztetniük kell az érintetteknek
A Google cégnek más oka is lehet a relatív fukarságra. Éppen a múlt hónapban szellőztették meg, hogy a hibavadászatra kitűzött díjat fel kívánják emelni a még mindig nem kirívó 3,133 dollárra és 70 centre (lásd eleet). Ez az ígéret ráadásul hamarosan valósággá válik, miután a rivális Firefox böngésző fejlesztői nemrég 3,000 dollárra növelték a termékükben talált kritikus rések felelősségteljes bejelentéséért járó jutalmat.

A két böngésző lehetőségei között mégis szakadék tátong. A Firefox fejlesztését társadalmi munkában végző Mozilla Alapítvány feliratos pólók árusításába is belefogott, hogy előteremtse a mindennapi foltozásra valót - míg a tőzsdén dollár-tízmilliárdokat érő és egy szinte végtelen nagy értékű matematikai kifejezésről elnevezett Google cég akár sportkocsit is ajándékozhatna a hibákért cserében.

Inkább semmit vagy keveset fizetnek
A pénzdíjak emelését elsősorban az ún. "sandbox" elszigetelési technika indokolja, ami miatt egyre nehezebb megtalálni a hibákat. A Google azonban jelmondata szerint nem akar rosszat cselekedni, így nem teheti meg, hogy túlzottan nagy összeget tűzzön ki, amivel ellehetetlenítené a Firefox fejlesztőit, vagy más hibavásárlókat, akik nem tudnak ennyit fizetni.

A másik nagy rivális, a Microsoft cég szintén bármekkora összeget kifizethetne - de ők elvből ellenzik a hibák pénzért történő felvásárlását, így a Windows és az Internet Explorer böngésző sebezhetőségeit bejelentő kutatók csak köszönő sorokra számíthatnak a friss biztonsági bulletinek havonkénti megjelenésekor.

Egy hibáról több bőrt akarnak lehúzni
Sajnos a kép ennek ellenére sem tiszta, mert egyes hackerek szeretnék, ha az általuk megtalált biztonsági réseket több helyre is eladhatnák - például az iDefense vagy a Tipping Point hibavásárló vállalkozásnak és utána még pluszban a gyártói pénzdíjat is bevasalnák. A Google szerint náluk ez lehetetlen - Charlie Miller, a közismert hibavadász azonban úgy véli, hogy a cégek hajlandóak lesznek duplán fizetni, mert végeredményben mindegy nekik, hogy ki árusítja az adott rést.

A helyzetet talán az oldhatná meg, ha a szoftvergyártókat egy nemzetközi fogyasztóvédelmi és minőségellenőrző szervezet bírságolná a silány programkód kiadásáért és ebből lehetne fizetni a hibabejelentők jutalmát - aki pedig kiberbűnözőknek adja el a veszélyes "nulladik napi" sebezhetőségeket, arra a börtönben "rohadna rá" a műanyag billentyűzet.

(forrás: virushirado.hu)