Od leta 2010 je Google plačuje ljudem, da najdejo varnostne napake v kodi največje digitalne platforme.
Ker ta sistem obstaja, je podjetje plačalo več kot 5 milijonov dolarjev tistim, ki so si za ta namen vzeli čas.
Poglej več
Toyota napoveduje novo Corollo v Braziliji z NEVERJETNO ceno; poglej
NEVERJETNO: Znanstveniki našli 'prazgodovinskega' pingvina živega v New…
Pred kratkim je iskalni gigant napovedal povečanje nagrad s plačilom največ 150.000 $ in druga izplačila, ki se podvojijo ali potrojijo.
Doslej je bilo prijavljenih 8500 prijav in plačil, poklicanih nagrade za hrošče. Plačila za te izpostavljenosti znašajo več kot 5 milijonov USD.
Program za nagrado za ranljivost Chroma ponuja podvojitev nagrade za »poročila o kakovosti« (od 15 do 30 tisoč dolarjev). Znesek se potroji, ko imate izhodiščno poročilo.
Poročilo o kakovosti mora vsebovati minimiziran testni primer in analizo, ki igra vlogo določi vzrok napake, predlagan popravek popravka in predstavitev, ki opozarja na morebitno napako zgoditi se.
V primerih izhodiščnega poročanja je potreben minimiziran test, da je težavo mogoče izkoristiti.
Laurie Mercer, varnostna inženirka pri HackerOne, poroča o Googlovih plačilih, ki pravijo, da so zelo dobro naložena.
"Nagrada za udeležence, ki lahko ogrozijo Chromebook ali Chromebox, je ena najvišjih nagrad na današnjem trgu," je dejal.
Dodal je, da bi predložitev ustreznega hrošča za to nagrado "zagotovila mesto v prestižni Googlovi dvorani slavnih".
Vendar v primerjavi z Zerodium, podjetje za digitalno varnost, ki je znano kot najboljši plačnik raziskovalcem, ki odkrijejo napake pred podjetji samimi, Google ne pušča želenega. Podjetje običajno plača nagrado v višini 500.000 $, če na primer ponuja oddaljeno izvajanje kode in lokalno eskalacijo privilegijev proti Chromu.
Po drugi strani pa se na nezakonitih trgih dražbe izvajajo zaradi pomanjkljivosti v sistemu podjetja, tako da se ponujajo visoke cene, včasih celo višje od tukaj navedenih nagrad. Vendar pa ta vrsta dejavnosti vključuje tveganje, saj ni zagotovljenih zasebnosti in plačila. Da ne omenjam, da ti raziskovalci nimajo možnosti predstaviti svojega dela na konferencah.
Raziskovalec varnosti aplikacij Sean Wright ima nekaj opozoril na to temo:
»Če hočeš denar, boš prodal Zerodiumu. Če želite biti etični, boste o tem obvestili Google. Če Google ne izenači zneskov, ki jih je plačal Zerodium, se to verjetno ne bo spremenilo.«
Google tudi nagradi, ko najde "hrošče" v "fuzzerjih". To je programska oprema, ki se uporablja za testiranje parametrov različnih aplikacij. Njegova funkcija temelji na postopku vstavljanja neveljavnih ali naključnih podatkov, da se ciljna programska oprema zruši ali izgubi pomnilnik, tako da jo lahko napadalec izkoristi. Fuzzerji so pogost pojav v Googlu in tisti, ki najdejo napake, so nagrajeni.
Prek Googla je mogoče ustvariti verigo izkoriščanja in ogroziti Chromebook v načinu za goste. Takojšnje nagrade so na voljo povsod.
Google Play Security Bounty Program je povečal znesek izplačila za raziskovalce s sodelovanjem s HackerOne, hekersko varnostno platformo. To je program, ki tudi nagrajuje tiste, ki najdejo ranljivosti, le da tokrat v priljubljenih aplikacijah. Vrednost lahko doseže do 20.000 ameriških dolarjev.
Glej tudi: