Komercijalizacija lova na softverske greške samo dovodi do novih propusta

Iako velike organizacije i kompanije često imaju programe putem kojih nude nagrade za pronalaženje softverskih grešaka kako bi povećale sigurnost svojih sistema, komercijalizacija te prakse stvara nove „slepe tačke“ i druge negativne posledice, navodi portal The Verge.

Trenutno najveći problemi u programima za pronalaženje i prijavljivanje bezbednosnih propusta u softverskim sistemima su to što se firme previše oslanjaju na spoljne saradnike za pronalaženje grešaka, kao i što odustaju od napora za interno sprečavanje bezgednosnih propusta u softverskom dizajnu.

Interni sistem za pronalaženje grešaka bi za firme bilo do 45 puta jeftinije, navela je Kejti Misuris, izvršni direktor konsultantske firme Luta Security, u intervjuu za Verge.

Većina firmi ne ulaže dovoljne resurse za popravljanje već prijavljenih grešaka, pa ne mogu da prate korak sa povećanim obimom rada na bezbednosti, nakon što hakeri u njihovim programima pronađu nove greške.

Budući da da spoljnim saradnicima firme obično uvažavaju samo prvu prijavu problema, dolazi do velike količine neplaćenog rada, kao i do angažovanja velikog broja niskokvalifikovanih programera, koji zarađuju na prijavljivanju jednostavnih grešaka, koje se mogu lako naći sa besplatnim ili jeftinim softverima.

Dešava se i da firme veštijim hakerima, koji nalaze komplikovanije propuste, odbijaju da isplate pronalaženje greške, uz objašnjenje „da se već zna za tu grešku i da je trenutno u procesu ispravljanja“.

Zbog ovakvog poslovnog okruženja i drugih faktora, nekolicina hakera koji su visokokvalifikovani nalaze poslove za u firmama, kao interni eksperti za bezbednost

Kako je navela Misuris, budući da se neke firme uključuju u ovakve programe uglavnom zbog manje odgovornosti ako ili kada dođe do curenja informacija ili drugog propusta, govoreći da su imali program za pronalaženje grešaka, ali da ta jednostavno nije bila prijavljena, samo tržište trenutno je u lošem stanju za obe strane posla.