Błędy nagrodzone
Na błędnie napisanym oprogramowaniu można zarobić. I nie chodzi o zyski z okupów za wykradzione dane, ale o nagrody za znalezienie słabości kodu. Google chętnie za to płaci.
W końcu stycznia Google tradycyjnie opublikował podsumowanie wyników swojego programu Vulnerability Reward Program – programu, który od 2010 roku zachęca programistów na całym świecie do wyszukiwania błędów w tworzonym przez giganta z Mountain View oprogramowaniu. Google za odkryte luki bezpieczeństwa chętnie płaci, co ma zapobiegać sprzedaży tych informacji cyberprzestępcom.
Polski programista Tomasz Bojarski odkrył aż 70 błędów w kodzie usług Google.
Jak wyglądają statystyki za rok 2015? Ponad 2 mln dolarów wydane na nagrody, ponad 300 uczestników programu VRP i więcej niż 750 indywidualnych nagród przyznanych utalentowanym, uczciwym hackerom. Warto też dodać, że Google od 2010 roku wydał na ten cel ponad 6 mln dolarów.
Mamy też, jako Polacy, powody do dumy, ponieważ wśród najaktywniejszych uczestników VRP jest nasz rodak – Tomasz Bojarski. Znalazł on, tylko w 2015 roku, 70 „bugów” w kodzie Google, w tym jeden w formularzu… zgłoszeniowym tego programu.
Zabawnym smaczkiem jest historia Sanmaya Veda – badacza bezpieczeństwa sieciowego, któremu udało się kupić domenę google.com przez należący do Google system rejestracji domen internetowych. Co prawda, w posiadaniu adresu google.com Ved był raptem przez minutę, ale Google postanowiło nagrodzić go za wykrycie tej programowej słabości. Pan Ved otrzymał 6006,13 dolarów, co można odczytać jako „google” zapisane cyframi. Taki hermetyczny żart środowiskowy…
Czarny rynek hacków
Za wykryte błędy oprogramowania chętnie płacą cyberprzestępcy. Na przykład za złamanie zabezpieczeń systemu iOS w wersji 9 (zrobienie tzw. jailbreaka, czyli zdobycie uprawnień do instalowania na iUrządzeniach oprogramowania bez certyfikatów) czeka wynagrodzenie w wysokości miliona dolarów (!). „Harvard Business Review” pokusił się nawet o przygotowanie analizy cen na czarnym rynku krytycznych błędów oprogramowania. Okazuje się, że tzw. 0-day exploits (dopiero odkryte, niezgłoszone nikomu wcześniej luki w kodzie programów i sposoby ich wykorzystania) można sprzedać w „ciemnym internecie” za kwoty od 1000 dolarów za odkrycia mniejszej wagi, do ponad 100 tys. za krytycznie groźne błędy.