וִידֵאוֹ: Ep 89 - Transforming our galley on Jeanneau Voyage 12.50 (אוֹקְטוֹבֶּר 2024)
חוקרי אבטחה המתמחים בבדיקת חדירה מבלים את ימיהם (ולילות) בניסיון לשבור מערכות אבטחה. אם הם ימצאו חור אבטחה במוצר לפני שהחבר'ה הרעים יעשו זאת, זה נותן ליצרן המוצר לדחוף תיקון. מה יש בו לחוקר? אולי שובר באג בסך 100, 000 $, אם הבעיה הייתה במוצר של מיקרוסופט. חוקרים מבית High-Tech Bridge, חברת שירותי אבטחה ובדיקת חדירה, מדווחים כי יאהו מציעה גם שפע באגים. הכתב הראשון של באג אבטחה שניתן לאמתו מקבל… $ 12.50, ניתן להחלפה רק בחנות החברה של יאהו עבור "חולצות טריקו, כוסות, עטים ואביזרים אחרים." באמת, יאהו?
נסדק במהירות
דף האבטחה ב- Yahoo מדווח על צעדים אבטחתיים שכבר נקטה על ידי החברה, יחד עם אוסף של טיפים. אנשים שחושבים שחשבונותיהם נפרצו או נפגעו יכולים לפנות ליאהו מדף זה לקבלת עזרה. כמו כן נכתב, "אם אתה חבר בקהילת האבטחה וצריך לדווח על פגיעות טכנית, צור קשר: [email protected]."
כדי להעריך את מערכת באג באונטי, חוקרי היי-טק גשר התיישבו והחלו לחפש חורי אבטחה באתרי Yahoo. הם מצאו אחד מייד, אך זה כבר דווח. במהלך כמה ימים נוספים הם מצאו שלוש פגיעויות נוספות בנושא סקריפט בין אתרים, כולם חדשים. (האם זה לא קצת מדאיג בפני עצמו?) על פי הדו"ח, "כל אחת מהפגיעויות שהתגלו אפשרה לפגוע בכל חשבון דוא"ל @ yahoo.com פשוט על ידי שליחת קישור בעל מבנה מיוחד למשתמש יאהו המחובר." ברגע שהמשתמש לוחץ על קישור זה המשחק נגמר.
החוקרים של יאהו עצמם אימתו כי פגיעויות אלה אכן קיימות (הן תוקנו מאז). הם הציעו לצוות המחקר תודה מכל הלב, ופרס של 12.50 דולר לכל באג, שניתן למימוש בחנות החברה. החוקרים לא התרשמו; בדו"ח נאמר "בשלב זה החלטנו להמשיך במחקר נוסף."
שפע גדול יותר
מיקרוסופט תשלם סכום של 100, 000 דולר עבור כמה דוחות. פייסבוק שילמה יותר ממיליון דולר. אפל לא משלמת הון באג, אלא מתגמלת "גילוי אחראי" בתהילה. בעיניי, מדיניותה של אפל מזומנת של אפל נראית טובה יותר מאשר להעניק שינוי נתח.
"יאהו צריכה כנראה לשנות את היחסים שלהם עם חוקרי אבטחה", אמרה איליה קולוצ'נקו, מנכ"לית גשר ההייטק. "לשלם כמה דולרים לפגיעות זו בדיחה גרועה ולא תניע אנשים לדווח עליהם על פגיעויות אבטחה, במיוחד כאשר ניתן למכור בקלות פגיעויות כאלה בשוק השחור במחיר גבוה בהרבה." הוא מסיק שאם יאהו לא תשקיע יותר בביטחון תאגידי, "אף אחד מלקוחות יאהו לעולם לא יוכל להרגיש בטוח."
חברות אחרות נדרשו להזדקק להכרה בכך שהנחות באגים משתלמות בגדול. לפני מספר שנים פייסבוק הציעה רק 500 דולר. לאחרונה לאחרונה חוקר אחד, שהכחיש שכר של פייסבוק, הדגים את תגליתו באמצעות פרסום על קירו של מארק צוקרברג. בריאן מרטין, נשיא קרן האבטחה הפתוחה, ציין כי "אפילו מיקרוסופט, שהייתה האחיזה הידועה לשמצה ביותר בתוכניות באונטי באגים, הבינה את הערך וקפצה לפני השאר והציעה עד 100, 000 דולר." הוא המשיך ואמר, "חלק מהחברות הללו משלמות לשרתם יותר כסף בכדי לנקות את משרדיהם, מאשר הם חוקרי האבטחה שמגלים פגיעויות שעלולות לסכן אלפי לקוחותיהם."
אני חייב להסכים. אם ספקים לא ישלמו עבור תגליות של חוקרי אבטחה, בהחלט יש אחרים שיעשו זאת. אנחנו לא רוצים שהחוקרים החכמים האלה יפנו אל הצד האפל כדי להאכיל את ילדיהם.
