Таким образом руководство корпорации надеется удержать
независимых специалистов безопасности от продажи информации на «черном» рынке.
Компания Google утроила максимальную
награду за найденные уязвимости в разработанном ею ПО до $15 000. Таким образом
руководство корпорации надеется удержать независимых специалистов безопасности
от продажи информации на «черном» рынке.
Как сообщалось ранее, размер вознаграждения за найденные
уязвимости варьировался от $500 до $5000.
Однако сейчас становится все труднее
обнаружить бреши в таких программных продуктах как Chrome, поэтому руководство
Google приняло решение увеличить размер выплачиваемой суммы в качестве
вознаграждения за дополнительные усилия.
Подобные программы оказались довольно эффективными для
крупных web-компаний, в том числе Google и Facebook, которые таким образом
получают результат, не прибегая к найму большего количества специалистов по
безопасности.
Однако и здесь присутствуют свои подводные камни, поскольку
у независимых специалистов есть немало возможностей продать уязвимости
злоумышленникам, воспользовавшись услугами профессиональных брокеров, таких как
Vupen или Netragard.
Аналитик команды Chrome Security Team Тим Уиллис (Tim
Willis) в блоге компании отметил: «Мы понимаем, что сумма нашего вознаграждения
может быть неадекватна возможным альтернативам, но мы предлагаем публичное
признание ваших навыков и возможность открыто обсудить проделанную работу…
Кроме того, вы можете быть уверены, что найденные вами уязвимости не будут
использованы сомнительными людьми в неизвестных целях».
Также вознаграждение могут получить и специалисты,
создавшие рабочий эксплоит. Для этого им сначала необходимо будет предоставить
отчет об уязвимости, а затем уже и эксплоит.
Источник: securitylab.ru
Комментариев нет:
Отправить комментарий