Yahoo plača 12,50 USD za skriptno ranljivost med spletnimi mesti, ki bi lahko ogrozila e-poštne naslove. Ali to pomeni, da varnosti ne jemlje resno? Ni nujno.
Če bi kakšen tip stopil v našo pisarno in ponudil, da začne pisati moje članke namesto mene, bi bil nekoliko hvaležen, če ne že zaskrbljen za svojo varnost zaposlitve. Toda če bi nato začel zahtevati denar od podjetja, sem skoraj prepričan in upam, da bi mu bilo vljudno rečeno, naj gre po običajnih kanalih in se prijavi za službo.
Glede na to, kako se panoga razvija, bi ga moj delodajalec morda obdržal kot samostojnega podjetnika, toda glede na to, da ima plačan vir (jaz!) ali se mu bodo zahvalili za njegov čas in mu rekli, naj nadaljuje, ali pa mu bodo zaračunali neko bedno ceno, da se bo splačalo podjetje.
Ne poskušam pridobiti nekoga drugega, da opravi moje delo (razen če sem ga oddal na Kitajsko ali v Indijo), zakaj vam torej to govorim?
Kajti natanko to se zgodi, ko varnostni raziskovalci predložijo ranljivosti in potem postanejo jezni, ko prejmejo mizerno plačilo.
Poglejte si perspektivo podjetij, kot so Cisco, IBM, Symantec, EMC in Huawei. To so velika podjetja, ki verjetno veliko vlagajo v varnost, če sama niso varnostna podjetja. Vendar tudi ne plačajo ali nadomestijo varnostnih raziskovalcev, ki jih opozorijo na ranljivosti.
In zakaj bi jih?
Če že vlagajo v varnostno ekipo, ki naj bi reševala te težave, zakaj bi potem plačevali nekoga drugega, še posebej, če je dovolj težko dobiti službo na teh mestih? Da, lepo je imeti drug pogled na zadevo, in da, pomoč zunanjih sodelavcev je hvaležna, vendar zunanje izvajanje tega dela ni dobra poslovna logika.
Kljub temu bo večina organizacij, ki imajo srce, spoznala, da ne glede na to, ali je raziskovalec beli, sivi ali modri (kot se izrazi Microsoft), ni nujno, da je rit. Beseda priznanja, majica po pošti, lepo ubesedeno elektronsko sporočilo je pogosto vse, kar nekateri raziskovalci iščejo. To je enako, kot če bi se tistemu tipu zahvalili in ga vljudno zavrnili.
Ko je Yahoo poslal raziskovalce iz Visokotehnološki most 12,50 USD za dve skriptni ranljivosti med spletnimi mesti, mislim, da ni naredil nič narobe. Ne bom ploskal povprečnosti, vendar delajo več kot IBM in podobni.
Vendar je napačno verjeti, da Yahoo meni, da je skriptna ranljivost med spletnimi mesti vredna le 12,50 USD, ker predpostavlja, da je Yahoojeva celotna varnost popolnoma odvisna od poročil prostovoljcev. Morda je res tako, če Yahoo preprosto ne skrbi za varnost, vendar nihče nima pojma, kaj se dogaja v Yahoojevih varnostnih ekipah. Zdi se, da obstaja veliko napačno prepričanje, da sta velikost in prisotnost nagrade za napake sorazmerni z odnosom organizacije do varnosti.
Po eni strani ima startup, kot je Etsy, posebno varnostno ekipo in ponuja nagrade že od 500 USD na njegovem spletnem mestu, v API-ju in mobilnih aplikacijah – skoraj povsod. Po drugi strani ima Samsung nagrado za hrošče v višini 1000 USD, vendar je omejena posebej za televizijske sprejemnike uveden v zadnjih dveh letih — izjemno omejen obseg.
Etsy ima očitno močno varnostno stališče, čeprav je njegova nagrada za hrošče nižja od Samsungove, vendar ni povedati, kaj se dogaja pri Samsungu, ali če bo omejen obseg sploh pomenil, da bo kaj pomembnega poročali. Bistvo je, da kljub podobnim nagradam ni mogoče vedeti, kaj Samsung misli.
Vendar pa so raziskovalci iz High-Tech Bridge naredili prav, ko so se odločili, da bodo z raziskavo prekinili, potem ko so izvedeli, da Yahoo plačuje drobiž. Če Yahoo resno misli na varnost in ne potrebuje pomoči raziskovalcev, potem ni vredno izgubljati časa. Veliko več je organizacij, ki bi raziskovalcem z veseljem plačale več za njihov čas.
Toda če Yahoo ne misli resno glede varnosti in je res v tako slabem stanju, da se zanaša na prostovoljna poročila, je morda najboljša stvar opazovati, kako podjetje propada in izgoreva. Tam zunaj je džungla in preživijo le najmočnejši.
Posodobitev (10. oktober 2012): direktor Yahoo Paranoids (njegov varnostni oddelek) Ramses Martinez se je odzval, ki je razkril, da je pogosto poslal 12,50 USD iz lastnega žepa in ni bila uradna politika podjetja. Kmalu bo imela uradno politiko z nagradami med 150 in 15.000 ameriškimi dolarji, ki bo veljala za nazaj do 1. julija 2013.