10

Tyle można zarobić zgłaszając błędy w oprogramowaniu. Niezła sumka

W ramach Android Security Rewards można otrzymać niemałe nagrody pieniężne za znalezienie i rzetelne opisanie błędu, który może znacząco wpłynąć na bezpieczeństwo. Jeden ze śmiałków, któremu się to udało zarobił na tym aż 112 500 dolarów - to naprawdę wysoka nagroda.

Wcześniej nagrody dla ekspertów znajdujących błędy w oprogramowaniu Google były nieco mniejsze, ale gigant zwiększył nieco stawki. Guang Gong z Qihoo 360 przedstawił dowody na istnienie dwóch błędów: CVE-2017-5116 oraz CVE-2017-14904, które zostały już naprawione w grudniowej aktualizacji bezpieczeństwa. Google natomiast opublikowało informacje o wypłaceniu nagrody dopiero teraz.

Co ciekawe, podatny na znalezione błędy był również telefon Google Pixel 2, który nazywany jest najbezpieczniejszym dostępnym smartfonem z Androidem na pokładzie. Pozwalały one na wykonanie potencjalnie złośliwego kodu w sandboksie przeglądarki Chrome. Następnie, możliwe jest także wstrzyknięcie kodu w proces system_server, gdy telefon połączy się z witryną, na której znajduje się złośliwy kod.

Ale to nie jedyny tego typu sukces Guang Gonga – w trakcie Pwn2Own 2016 jego drużyna złamała telefon Pixel pierwszej generacji w mniej niż… 60 sekund zdalnie wykonując złośliwy kod na telefonie. W trakcie całej imprezy zespół Gonga wygrał aż 520 000 dolarów – to naprawdę sporo i nas takie kwoty mogą szokować. Niemniej, specjalistyczna wiedza oraz ogromne pokłady kreatywności są w cenie – dla gigantów technologicznych bezpieczeństwo ich rozwiązań to naprawdę cenna rzecz.

Programy bug bounty to prawdziwy sukces

Programy bug bounty nie są nowością – jednak dopiero teraz następuje ich znaczny rozkwit. Firma Google uchodzi za jednego z hojniejszych partnerów, jeżeli chodzi o tego typu inicjatywy – nic więc dziwnego, że eksperci z całego świata dwoją się i troją, by znaleźć jakikolwiek błąd w oprogramowaniu. Dzięki temu osoby o specjalistycznej wiedzy mogą sobie „dorobić” (w przypadku Gonga jest to znaczny eufemizm, bo trudno jest mówić o ponad 100 tysiącach dolarów w kontekście „dorabiania sobie), a giganci technologiczni nie muszą angażować swoich zespołów do usilnego wychwytywania błędów.

Ponadto, programy bug bounty stanowią swego rodzaju bufor bezpieczeństwa, który może spowodować, że osoby znajdujące podatności w infrastrukturach prędzej zdecydują się poinformować o nich producenta / właściciela, niż wykorzystać je dla własnych potrzeb. Wysokie nagrody w programach bug bounty stanowią swego rodzaju zachętę powstrzymującą specjalistów od nieetycznych działań.

Nie oznacza to jednak, że uda się „odsiać” wszystkich osób szukających podatności. Bieżące wydarzenia jasno pokazują, że Google ma sporo do zrobienia w kwestii bezpieczeństwa – szczególnie w Androidzie, gdzie niektóre programy w sklepie Google Play okazują się być złośliwe – mimo certyfikacji oraz wewnętrznych mechanizmów weryfikujących publikowane programy.