Bug Bounties: Ενώ το να δίνονται πολλές αμοιβές στους ερευνητές ευπαθειών, ώστε να εντοπίζουν τρύπες στα software λειτουργούσε καλά ως τώρα, πλέον οι ανάγκες του ώριμου software χρειάζονται πλέον διαφορετική προσέγγιση, σύμφωνα με μία ομάδα ακαδημαϊκών και βιομηχανικών ερευνητών.
Μια ανάλυση της αγοράς, με αγοραπωλησίες μη δημοσιευμένων προβλημάτων ασφάλειας, των λεγόμενων ευπαθειών zero-day, δείχνει ότι το να πληρώνονται ερευνητές κρυφά για τον εντοπισμό bugs στους developers είναι πολύ καλή μέθοδος αν εξαλειφθούν οι τρύπες που βρίσκονται στο σύστημα.
Η έρευνα διεξήχθη από οικονομολόγους και ερευνητές πολιτικής στο Ινστιτούτο Τεχνολογίας της Μασαχουσέτης, το Πανεπιστήμιο του Harvard, το Facebook και τον φορέα παροχής υπηρεσιών διαχείρισης ευπαθειών HackerOne. Με την χρήση ενός είδους ανάλυσης, γνωστής και ως system dynamics modelling, οι ερευνητές μελέτησαν τα κίνητρα για το καθένα απ’ τα άτομα ή τα μέρη που εμπλέκονται στον προγραμματισμό λογισμικού και στην διαδικασία μείωσης των ευπαθειών. Εν τέλει διαπίστωσαν πως η καταβολή ανταμοιβών σε ειδικούς ασφάλειας, είτε με δόξα είτε με μετρητά, ναι μεν λειτουργεί αλλά κυρίως στην εύρεση και την αφαίρεση των ‘εύκολων να εντοπιστούν bugs.
«Το κίνητρο μπορεί να είναι οτιδήποτε – ακόμα και η αναγνώριση για κάποιους» όπως ανέφερε η Katie Moussouris, διευθύνων policy officer της HackerOne, στην eWeek. «Υπάρχουν όλο και περισσότερες ευκαιρίες για τον κόσμο ώστε να βγάλει μετρητά, αλλά οι πριμοδοτήσεις από μόνες τους δεν είναι ο πιο αποτελεσματικός τρόπος να απαλλαχθεί κανείς οριστικά από το ζήτημα.»
Ωστόσο, πληρώνοντας bug bounty programs στους ειδικούς της ασφάλειας για να δημιουργήσουν εργαλεία ώστε να εντοπίζονται οι κατηγορίες των ευπαθειών φαίνεται να είναι περισσότερο σημαντικό για το μοντέλο ασφάλειας λογισμικού. Ουσιαστικά αντί να αγοράζουν τους καρπούς της εργασίας των ειδικών, θα πρέπει να πληρώνουν για τα εργαλεία που χρησιμοποιούνται γι’ αυτήν.
Ερευνητές ασφάλειας, hacker και προγραμματιστές συζητούν για το ποιος είναι ο καλύτερος τρόπος να εντοπίζονται flaws –καθώς και για την βελτίωση της ασφάλειας του λογισμικού- πάνω από δύο δεκαετίες τώρα. Ενώ ο εντοπισμός ελαττωμάτων είχε φέρει σε δύσκολη θέση πολλές εταιρείες, τις ώθησε ταυτόχρονα να πάρουν την υπόθεση περισσότερο στα σοβαρά, το να δημοσιοποιούνται όμως οι ευπάθειες μπορεί να οδηγήσει σε παραβιάσεις και να αποβεί επιβλαβές για τους πελάτες. Μετά από πολλά χρόνια συζητήσεων, ερευνητές και εταιρείες έχουν καταλήξει σε μια ψηφιακή ύφεση, που είναι γνωστή ως coordinated disclosure, όπου οι ερευνητές παρέχουν στους προμηθευτές λογισμικού μια εύλογη ευκαιρία να διορθώσουν τo bug και οι εταιρείες λογισμικού δουλεύουν μαζί με τους ερευνητές με την πρόθεση να επιλύσουν το ζήτημα.
Η Moussouris, δούλεψε μαζί με τον Michael Siegel και τον James Houghton στο Sloan School του MIT και με τον Ryan Elllis από το τμήμα Public Policy του Harvard Kennedy School, καθώς και με τον Collin Greene του Facebook, το οποίο ήταν και χορηγός της έρευνας.
Όλοι μαζί διαπίστωσαν πως η θεωρία του ‘many eyes’ που υιοθετήθηκε από τους υποστηρικτές του ανοικτού κώδικα, μπορεί να εξαλείψει μόνο κάποια bugs. Από ένα σημείο και μετά, απαιτείται αυτοματοποιημένο κυνήγι bug, με αμυντικά εργαλεία, ώστε να εντοπίζονται αποτελεσματικά τα ελαττώματα. Η χρήση bug bounties και ανταμοιβών για αμυντικά εργαλεία έρευνας θα εξαλείψει πολλά από τα βασικά κενά ασφαλείας που επιτρέπουν εγκληματικές επιθέσεις.
