Aνεύρεση ευπαθειών σε προγράμματα (VRPs) είναι πολύ αποδοτικά

Οι ερευνητές Matthew Finifter, Devdatta Akhawe και David Wagner του Πανεπιστημίου Berkeley της Καλιφόρνια, δημοσίευσαν μια ενδιαφέρουσα μελέτη σχετικά με τα προγράμματα για την ανεύρεση ευπαθειών (VRPs), εστιάζοντας συγκεκριμένα στα προγράμματα ανταμοιβής της Google και Μοzilla για την ανακάλυψη κενών ασφάλειας στους περιηγητές Chrome και Firefox αντίστοιχα.

Οι ερευνητές διαπίστωσαν ότι τα τελευταία τρία χρόνια, η Google έχει δαπανήσει περίπου 580 χιλιάδες δολάρια (€453,000) για την υλοποίηση περισσότερων από 501 bounties (επιβραβεύσεις για ανεύρεση ευπαθειών), ενώ η Mozilla έχει δαπανήσει 570 χιλιάδες δολάρια (€ 444.000) για την υλοποίηση περισσότερων από 109 bounties.

“Παρά το γεγονός ότι τα δύο προγράμματα έχουν το ίδιο κόστος, το πρόγραμμα της Chrome έχει εντοπίσει περίπου τετραπλάσιο αριθμό σφαλμάτων και είναι πολύ πιο δημοφιλές από το πρόγραμμα της Mozilla”.

Οι εμπειρογνώμονες υπογράμμισαν ορισμένες ακόμα βασικές διαφορές μεταξύ των δύο προγραμμάτων. “Για παράδειγμα, ενώ η Mozilla προσφέρει ένα σταθερό ποσό επιβράβευσης – ύψους 3000 δολαρίων, η  κλιμακωτή δομή επιβραβεύσεων της Google, η οποία προσφέρει ποσά που κυμαίνονται από 500 έως 10.000 δολάρια, είναι πολύ πιο ελκυστική για τους ερευνητές.”

Επιπλέον, το πρόγραμμα της Chrome έχει μεγαλύτερη προβολή, κυρίως λόγω των ετήσιων διαγωνισμών, όπως το Pwnium.Παρόλο που το VRP της Mozilla μπορεί να μην να είναι τόσο αποτελεσματικό όσο το VRP της Google, οι εμπειρογνώμονες τόνισαν το γεγονός ότι μια τέτοια πρωτοβουλία μπορεί να είναι ιδιαίτερα αποτελεσματική, όσον αφορά το κόστος.

Σύμφωνα με την έκθεση, τα προγράμματα ανταμοιβής για την ανεύρεση κενών ασφάλειας, μπορεί να είναι δύο έως εκατό φορές πιο αποτελεσματικά από άποψη κόστους, συγκριτικά με την  πρόσληψη ερευνητών ασφαλείας πλήρους απασχόλησης, για τον εντοπισμό των ευπαθειών.

Πηγή:secnews.gr