Det har etter hvert blitt en rekke ordninger som lover dusør for informasjon og hemmelighold om sårbarheter i nettbasert programvare. Stort sett fokuserer ordningene på hvert sitt område, men det er også en viss overlapp. (Bilde: PantherMedia/Ryan Jorgensen)

Webrivaler sammen om ny dusørordning

Lover penger for sikkerhetshull på Internett.

Flere selskaper tilbyr sikkerhetsforskere og andre dusør for informasjon om nyoppdagede sårbarheter i programvare. Microsoft tilbyr dette for sårbarheter i noe av selskapets egen programvare, Facebook for sårbarheter i tjenesten, mens Google tilbyr dusør for sårbarheter som oppdages i Chrome, i de fleste av selskapets webbaserte tjenester, samt i et utvalg mye brukt åpen kildekode-programvare.

Et krav for å få utbetalt dusørene er alltid at sårbarheten ikke gjøres kjent for andre før en sikkerhetsfiks foreligger. Selv om dusørene sjelden er høye nok til at finneren blir rik, så virker det som at flere av ordningene fungerer godt for. Dette til tross for at blant annet kriminelle er villige til å betale betydelig beløp for slik informasjon.

I forrige ble det etablert en ny dusørordning som kalles for HackerOne. Hovedsponsorer er Microsoft og Facebook. Disse to selskapene har også flest medlemmer i panelet som skal bedømme rapportene. Men også markedsplassen Etsy, IT-sikkerhetsselskapet iSEC Partners og Google er representert i panelet.

HackerOne-ordningen er delt inn i flere kategorier. Det fleste dreier seg om mye brukte enkeltprodukter, slik som webserverne Apache og Nginx, skriptspråkene Perl, PHP, Python og Ruby, OpenSSL samt rammeverk som Rails og Django.

Sandkasser

I tillegg er det to langt mer åpne kategorier. Den ene handler om omgåelse av sikkerhetssandkasser. I praksis er det bare fire sandkasser som er aktuelle, nemlig de man finner i Chrome, Internet Explorer 10 EPM (Enhanced Protected Mode), Adobe Reader X og nyere, samt Adobe Flash. Det kreves dessuten at programvaren kjøres på temmelig nye utgaver av enten Windows, Linux eller OS X.

Den mest omfattende kategorien av dem alle heter rett og slett «Internet». Denne omfatter sårbarheter i stort sett all Internett-relatert teknologi.

For å kvalifisere, må sårbarhetene tilfredsstille i alle fall et flertall av følgende kriterier: utbredt, leverandøragnostisk, alvorlig, samt ny eller uvanlig på en interessant måte.

Hvor stor dusør som utbetales, avhenger av blant annet alvorlighetsgraden til sårbarhetene som meldes inn. Det er kun oppgitt minimumsdusøren til hver ordning, som er på mellom 300 og 5000 dollar, avhengig av kategori.

– Dette er ment for de svært, svært alvorlige feilene som kan ha skrekkelige konsekvenser for Internett dersom de havner i feil hender, sier produktsikkerhetsleder i Facebook, Alex Rice, til Reuters.

Ifølge Rice skal ideen til dusørordningen ha dukket opp mens han delte noen glass med Katie Moussouris, som er ansvarlig for Microsofts eget dusørprogram, og Chris Evans, som er medlem av sikkerhetsgruppen for Google Chrome.

    Les også:

Til toppen