Dobra zarada na bezbednosnim rupama

Američka vlada pokrenula je ovog meseca prvi program nagrađivanja ljudi koji otkriju bezbednosne propuste na javnim sajtovima ministarstva odbrane. Odvojeno je 150.000 dolara za vešte kompjuteraše koji uspeju da otkriju značajnije rupe pre zlonamernih hakera, preneo je Bi-Bi-Si.

Nezakonit ulazak u računarske baze podataka ima katastrofalne posledice za organizaciju koja je pretrpela upad, tako da mnogi, pored internog tima za sajber bezbednost, „izvoze” posao spoljnim saradnicima motivišući ih novčanim nagradama.

Bezbednosni „bagovi” su zvanično dobar posao. „Uber” je prošlog meseca objavio da ulazi u ovu arenu sopstvenim programom, dok „Fejsbuk” i „Majkrosoft” imaju slične šeme već godinama. Najveća nagrada Gejtsove kompanije trenutno je 100.000 dolara i sledi onom ko otkrije istinski novu tehniku kojom može da se „probuši” zaštita poslednje verzije operativnog sistema ili bilo šta što može da zaobiđe bezbednosne sisteme „vindouz” platforme.

U načelu, nagrade se isplaćuju prema značaju otkrića. „Fejsbuk” je do sada isplatio skoro milion dolara lovcima na bagove, ali prosečan iznos 2015. godine bio je 1.782 dolara po slučaju. Najefikasniji su bili lovci iz Indije, Egipta i Trinidada i Tobaga.

„Na ovaj način kompanije su sigurne da će najbolji hakeri da im preispitaju kod. Što više očiju pregleda program, više će propusta naći”, rekao je za Bi-Bi-Si Đanluka Stringini, profesor kompjuterskih nauka na Univerzitetskom koledžu Londona.

To je ujedno i način da kompanije otkriju talente. Nema sumnje da ako ste uspešan honorarni haker možete da dobijete posao ovim putem, što se upravo desilo Krisu Vikeriju. Kada je otkrio rupu u bazi softverske firme „Makiper”, pitali su ga da li želi da radi za njih.

Belgijanac Arne Svinen je trenutno rangiran na drugom mestu u tzv. „Holu slavnih belih šešira” na iznenađujuće dugoj listi ljudi koji su pomogli da razne platforme „Fejsbuka” budu bezbednije tako što su kompaniju obavestili pre nego što su kriminalci mogli da iskoriste propuste. Svinen ima stalni posao, a u slobodno vreme je poslednjih nekoliko meseci zaradio oko 15.000 dolara otkrivajući slabosti sistema.

„Za neke mi je trebalo nekoliko dana, za druge samo pet minuta. Najveći propust mi je doneo 2.500 dolara, a otkrio sam ga za pet minuta” kaže ovaj Belgijanac koji je prvo počeo da traži bagove na „Instragramu”.

Naravno, ima mnogo kompanija koje nemaju ovakve programe, ali bi verovatno bile spremne da nagrade podršku. Svi oni koji bi da krenu u lov treba samo da imaju na umu da je neovlašćeni pristup sistemu zakonom zabranjen u mnogim zemljama, bez obzira na činjenicu da se „ulazi na širom otvorena vrata”.

Hakeri bi takođe trebalo da vode računa da imaju odgovornost prema podacima koje eventualno pronađu, a nisu adekvatno obezbeđeni.

„Morate da bude oprezni, jer to je minsko polje. Tanka je linija između istraživanja ranjivosti sistema i neovlašćenog pristupa”, naglašava profesor Alan Vudvord, britanski stručnjak za sajber-bezbednost.

Ovo je ujedno i minsko polje za kompanije, posebno male firme koje možda nemaju ni ekspertizu ni sredstva da se suoče sa globalnom armijom hakera koji rade iz dobrih pobuda, tzv. belih šešira, i svih ostalih.

U osnovi, savet za kompanije je jednostavan.

„Pratite novosti, saznajte kakvi sve napadi postoje i pobrinite se da kad god se otkrije nova ranjivost ažurirate sistem. I naravno, budno motrite na sve neuobičajene aktivnosti”, savetuje britanski profesor Vudvord.