Akár 115 000 dollár jutalom egy Apple bugért

Bug

A Forbes magazin egy cikket közölt Adriel Desautels-ről, akinek cége hajlandó akár 115 000 dollárt is fizetni egy ügyes Apple bugért. Desautels cége, a Netragard egyebek mellett azzal foglalkozik, hogy ügynöki szerepet vállal, bugokat közvetít. Megvásárolja a hibákról szóló információkat a független biztonsági szakértőktől, majd azokat értékesíti az egyre növekvő, titkos és semmiféle szabállyal sem regulázott piacon.

Desautels nem fedte fel kik az ügyfelei, de állítja, átvilágítja őket, hogy megbizonyosodjon arról, hogy nem cyberbűnözőket lát el munícióval. Elmondása szerint az Apple felhasználói tábor növekszik, így az Apple bugok iránti kereslet is nő. Jelenleg 15 ezer és 115 ezer amerikai dollár közti jutalmat hajlandó fizetni a megfelelő Apple termékekkel kapcsolatos bug információkért.

A biztonsági cég vezetője szerint nagyon nagy piaca van az Apple-bugoknak jelenleg. Az ügyfeleiket rendkívül érdeklik az Apple bugok és egyes esetekben kifejezetten bizonyos típusú Mac hibákat keresnek.

A részletek itt.

( numen v | 2010. 03. 28., v – 16:49 )

vajon amikor egy szoftvercégnek dollárszázezrekbe kerül egy biztonsági hiba, mennyire rúgják seggbe az operatív felelősöket (mennyire követhető egyáltalán vissza, mennyire egyértelmű?)

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

a körülményektől függően lehetőség szerint igen :P
Akárhogy is nézzük, jelen esetben a régóta piacon lévő selejt (itt: hibásan kiadott, azóta javítatlan termék) az Apple-nek anyagi kárt okoz.
A kérdésedet átfogalmazva: a lakatos cég kirúgja-e azt a lakatosát, aki ahol megfordul, betörnek utána?

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

Nem.
Egyrészt nagyon nehéz egy konkrét felelőst találni. Másrészt olyan precedenst teremtene, ami után minden fejlesztő "seggvédő" üzemmódba kapcsol: kooperáció nuku, csak azt nézed, hogy a te munkádba ne lehessen belekötni. Ez nem esik egybe azzal, hogy működő terméket gyártasz.
Ráadásul azáltal, hogy a fejlesztőcsapatod szétziláltad, a már meglévő veszteség (a hiba által okozott kár) mellé még gyűjtesz sokkal többet a fejlesztés alatt álló termékek késése miatt.

A fentiek arra vonatkoznak, hogy a fejlesztők betartották a vonatkozó céges folyamatokat, és így került bele a hiba. Ha nem tartották be, akkor pedig nem konkrétan a hiba miatt veszik elő őket (illetve extrém esetben kirúgják), hanem mert rosszul végzik a munkájukat, és nem tartják be a céges előírásokat -- ami viszont teljesen jogos. Ezek a folyamatauditok multiknál egyébként rendszeresen vannak, jobb-rosszabb hatásfokkal. Ha egy részleg "rosszul" dolgozik (több hasonló ügye van, mint a többi részlegnek, veszteséget termel ... stb.), akkor persze kapnak soron kívül is.

Üdv,
Gergely

Hogy is mondjam. Az, hogy milyen hibát és mikor javítanak nagyon sok mindentől függ. Egész komoly mennyiségű szakirodalom foglalkozik ezzel. Érdemes olvasgatni. De az, hogy van egy piac ahol fizetnek egy apple bugért elég sokat még nem jelenti azt, hogy az Apple oldalán is ekkora prioritással rendelkezik az a hiba.

-- "Bízzál Istenben és tartsd szárazon a puskaport!" - Cromwell --
-- Sayusi Ando - http://sayusi.hu --

( noss | 2010. 03. 28., v – 18:13 )

"Desautels nem fedte fel kik az ügyfelei, de állítja, átvilágítja őket..."

átvilágítja a titkosszolgálatokat? :) (kicsit képlékeny innentől a szájberbűnözés fogalma is)

( igoor | 2010. 03. 29., h – 07:51 )

Ez igy eleg nagy baromsagnak tunik, nem az index-rol van ez a cikk veletlenul? ;) Nezzuk eloszor az uzleti oldalat a dolognak: tegyuk fel, jon Hekk Erik, kezebe vesz egy Almat es talal rajta egy lyukat. Utana odasomfordal hosunkhoz es eladja neki az informaciot, persze ala kell irnia egy titoktartasi kotelezettseget, hiszen ennek az arunak addig van erteke, amig mas nem tud rola. Igy kap penzt, de a hirnev valoszinuleg ugrik. De menjunk tovabb, mit csinal hosunk a megszerzett informacioval? Visszatartani nincs ertelme, hiszen ezzel azt kockaztatna, hogy idokozben az informacio "meghal". Tehat feltetelezhetoen megprobalja gyorsan tovabbpasszolni. Eddig meg oke. Na de a titokzatos vasarloknak tenyleg megeri megvenni valamit, amirol nem tudhatjak, hogy meddig lesz az ovek? Tudja a fene. Lehet, hogy csak keveset aludtam es a kave sem volt eleg eros ... Ja, a moralis oldalat tekintve az egesznek meg persze nem kell kommentar ...

De menjunk tovabb, mit csinal hosunk a megszerzett informacioval?

Adriel pen-testerkent dolgozik, igy valoszinuleg kozvetlenul is fel tudja hasznalni a bugokat a munkaja soran, de valoszinu, hogy tovabbadja a gyartonak. Valami olyasmit irt regebben a levelezolistara, hogy azert kozvetit a bug megtalaloja es a gyarto kozott, hogy ne lehessen beperelni a bug megtalalojat.

Na, varjunk egy picit! Most akkor kinek akarja eladni az infot? A cikk szerint barkinek, aki "jo fiu", tehat nem kifejezetten a szoftver gyartojanak. Bar nem tudom, ki az aki szerinte ebbe a kategoriaba esik, mikozben egy szoftver hibajat akarja vmilyen nem publikalt celra felhasznalni ;) Na megyek, hozok meg egy kavet ...

Most akkor kinek akarja eladni az infot? A cikk szerint barkinek, aki "jo fiu", tehat nem kifejezetten a szoftver gyartojanak. Bar nem tudom, ki az aki szerinte ebbe a kategoriaba esik, mikozben egy szoftver hibajat akarja vmilyen nem publikalt celra felhasznalni ;)

Peldaul egy hozza hasonlo pen-testernek/cegnek.