Kaip savanoriška parama padėjo rasti Heartbleed spragą?
„Heartbleed“ internetinis pažeidžiamumas išgąsdino visus. Tai maža, bet rimta spraga atvirojo kodo „OpenSSL“ programoje, naudojamoje ryšio tarp jūsų kompiuterio ir interneto serverių šifravimui. Pastaruosius dvejus metus spraga įsilaužėliams galėjo suteikti prieigą prie slaptažodžių, naudotojo vardo ir kitų duomenų. Šį rimtą įskilimą interneto pamatuose atrado draugiškas programišius – „Google“ inžinierius Neelas Mehta, laisvu laiku tikrinęs tinklo saugumą. Už savo darbą jis gavo piniginę premiją. Apie piniginių premijų, kaip atlygio už saugumo skylių atradimą, naudą pasakojo platformos „HackerOne“, per kurią N. Mehta ir gavo 15 000 JAV dolerių atlygį, įkūrėjas ir generalinis direktorius Merijnas Terheggenas.
Kaip minios resursai gali padėti sutaisyti internetą?
Jei pakankamai daug žmonių ieškos, gali būti rasta bet kuri klaida. Norime pritaikyti panašų į naudojamą „Wikipedijoje“ modelį interneto saugumo didinimui. Tai labai sudėtinga, nes yra tiek daug vienas nuo kito priklausančių sluoksnių. Bet kurdami tokias iniciatyvas ir premijas tyrėjams už tokių spragų kaip „Heartbleed“ paieškas, manome, galime tai sutvarkyti. „HackerOne“ įdiegia finansinius ir reputacijos atlygius tiesiai į pažeidžiamumų atskleidimo procesą.
Kokios yra spragas atrandančių žmonių atlygio sistemos ir kas jas finansuoja?
„HackerOne“ ima mokestį iš verslo klientų, panaudojančių minios resursus savo programinės įrangos tikrinimui. „Microsoft“ ir „Facebook“ taip pat prisidėjo finansiškai, jų pačių spragų medžioklė už pinigus buvo labai sėkminga.
Kodėl reikia mokėti žmonėms, kad šie atskleistų surastas saugumo spragas?
Ilgainiui norisi, kad premijos būtų labai konkurencingos palyginus su tuo, kiek galima gauti, išnaudojus pažeidžiamumą nedorais tikslais. Ateityje, tokios spragos, kaip „Heartbleed“ galėtų būti vertos daugiau, nei 100 000 ar 500 000 dolerių. Internetas yra labai svarbus šiuolaikinio gyvenimo komponentas, tačiau jis yra ir bendras. Kaip ir klimato globalaus atšilimo atveju, nėra vienos organizacijos, kurios darbas būtų apsaugoti įvairius interneto komponentus. Mes stengiamės apdovanoti tiesiogiai tai darančius tyrėjus.
