Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Программа вознаграждения за ошибки - это сделка, предлагаемая многими веб-сайтами, организациями и разработчиками программного обеспечения, посредством которой отдельные лица могут получить признание и компенсацию [1] за сообщение об ошибках , особенно тех, которые касаются эксплойтов и уязвимостей системы безопасности .

Эти программы позволяют разработчикам обнаруживать и устранять ошибки до того, как о них узнает широкая публика, предотвращая случаи широко распространенного злоупотребления. Программы Bug Bounty реализованы большим количеством организаций, включая Mozilla , [2] [3] Facebook , [4] Yahoo! , [5] Google , [6] Reddit , [7] Square , [8] Microsoft , [9] [10] и награда за обнаружение ошибок в Интернете. [11]

Компании, не относящиеся к технологической отрасли, включая традиционно консервативные организации, такие как Министерство обороны США , начали использовать программы вознаграждения за ошибки. [12] Использование Пентагоном программ поощрения ошибок является частью смены позиции, в результате которой несколько правительственных агентств США изменили курс: от угроз белым хакерам обратиться за помощью в суд к их приглашению к участию в рамках всеобъемлющей структуры или политики раскрытия уязвимостей. [13]

История [ править ]

Хантер и Риди инициировали первую известную программу вознаграждения за ошибки в 1983 году для своей операционной системы Versatile Real-Time Executive . Любой, кто обнаружит и сообщит об ошибке, получит взамен Volkswagen Beetle (также известный как Bug). [14]

Чуть более десяти лет спустя, в 1995 году, Джарретт Ридлингхафер, инженер технической поддержки в Netscape Communications Corporation, придумал фразу «Bugs Bounty».

Netscape поощряла своих сотрудников стараться и делать все возможное, чтобы выполнить свою работу. Ридлингхафер признал, что у Netscape было много энтузиастов продукта и проповедников, некоторых из которых можно было даже считать фанатиками браузеров Netscape. Он начал исследовать это явление более подробно и обнаружил, что многие энтузиасты Netscape на самом деле были разработчиками программного обеспечения, которые самостоятельно исправляли ошибки продукта и публиковали исправления или обходные пути либо на новостных форумах в Интернете, созданных службой технической поддержки Netscape. отдел, или на неофициальном веб-сайте «Netscape U-FAQ», где перечислены все известные ошибки и функции браузера, а также инструкции по обходным путям и исправлениям.

Ридлингхафер подумал, что компания должна использовать эти ресурсы, и предложил «Программу вознаграждений за ошибки Netscape», которую он представил своему менеджеру, который, в свою очередь, предложил Ридлингхаферу представить ее на следующем собрании руководства компании. На следующем собрании исполнительной команды, на котором присутствовал Джеймс Барксдейл , Марк Андриссени вице-президентами каждого отдела, включая разработку продукта, каждому участнику была предоставлена ​​копия предложения «Программа вознаграждений за ошибки Netscape», а Ридлингхафер был приглашен представить свою идею исполнительной команде Netscape. Все участники встречи поддержали эту идею, кроме вице-президента по инжинирингу, который не хотел, чтобы она продолжалась, считая ее пустой тратой времени и ресурсов. Однако вице-президент по проектированию был отклонен, и Ридлингхаферу дали начальный бюджет в 50 тысяч долларов для работы с предложением.

10 октября 1995 года Netscape запустила первую программу вознаграждения за технологические ошибки для браузера Netscape Navigator 2.0 Beta. [15] [16]

Противоречие с политикой раскрытия уязвимостей [ править ]

В августе 2013 года палестинский студент, изучающий информатику, сообщил об уязвимости, которая позволила любому опубликовать видео в произвольной учетной записи Facebook. Согласно электронному письму между студентом и Facebook, он попытался сообщить об уязвимости с помощью программы bug bounty от Facebook, но инженеры Facebook неправильно поняли студента. Позже он воспользовался уязвимостью, используя профиль Марка Цукерберга в Facebook, в результате чего Facebook отказался выплатить ему вознаграждение. [17]

Дебетовая карта Facebook «White Hat», выдается исследователям, сообщающим об ошибках безопасности.

Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выдавая им дебетовые карты с фирменной маркой «White Hat», на которые можно пополнять денежные средства каждый раз, когда исследователи обнаруживают новые недостатки. «Исследователи, которые находят ошибки и улучшения безопасности, встречаются редко, мы ценим их и должны найти способы их вознаградить», - сказал CNET Райан МакГихан, бывший менеджер группы реагирования на безопасность Facebook . «Наличие этой эксклюзивной черной карты - еще один способ узнать их. Они могут прийти на конференцию, показать эту карточку и сказать: «Я сделал особую работу для Facebook». [18] В 2014 году Facebook прекратил выпуск дебетовых карт для исследователей.

В 2016 году в Uber произошел инцидент безопасности, когда человек получил доступ к личной информации 57 миллионов пользователей Uber по всему миру. Человек якобы потребовал выкуп в размере 100000 долларов, чтобы уничтожить данные пользователей. В показаниях Конгресса Uber CISO указал, что компания подтвердила, что данные были уничтожены, прежде чем заплатить 100 000 долларов. [19] Г-н Флинн выразил сожаление, что Uber не раскрыл информацию об инциденте в 2016 году. В рамках своей реакции на этот инцидент Uber работал с партнером HackerOne над обновлением своей политики программы вознаграждений за ошибки, чтобы, среди прочего, более подробно объяснить добросовестность. исследование уязвимостей и раскрытие информации. [20]

Yahoo! подверглась резкой критике за рассылку Yahoo! Футболки в качестве награды исследователям в области безопасности за обнаружение уязвимостей в системе безопасности Yahoo !, и о них сообщают, что вызвало появление того, что стало называться « воротами на футболках» . [21] High-Tech Bridge , компания по тестированию безопасности, расположенная в Женеве, Швейцария, выпустила пресс-релиз, в котором говорилось, что Yahoo! предлагал кредит в размере 12,50 долларов на каждую уязвимость, который можно было использовать в отношении товаров под брендом Yahoo, таких как футболки, чашки и ручки из его магазина. Рамзес Мартинес, директор службы безопасности Yahoo, заявил позже в своем блоге [22]что он стоял за программой вознаграждения ваучерами и что он в основном оплачивал их из своего кармана. В конце концов Yahoo! 31 октября того же года запустила свою новую программу поощрения ошибок, которая позволяет исследователям безопасности сообщать об ошибках и получать вознаграждение от 250 до 15 000 долларов в зависимости от серьезности обнаруженной ошибки. [23]

Точно так же, когда Ecava выпустила первую известную программу вознаграждения за ошибки для ICS в 2013 году [24] [25], их критиковали за то, что они предлагали кредиты магазина вместо наличных денег, что не стимулирует исследователей безопасности. [26] Экава объяснил, что программа изначально была ограничительной и ориентирована на безопасность человека для пользователей IntegraXor SCADA , их программного обеспечения АСУ ТП . [24] [25]

География [ править ]

Хотя заявки на вознаграждение за ошибки поступают из многих стран, некоторые страны, как правило, отправляют больше сообщений об ошибках и получают больше вознаграждений. Соединенные Штаты и Индия являются ведущими странами , из которых исследователи представить ошибки. [27] Индия, которая занимает первое или второе место в мире по количеству «охотников за ошибками», в зависимости от того, какой отчет цитируется, [28] возглавила программу Facebook Bug Bounty Program по наибольшему количеству допустимых ошибок. [29] «Индия вышла на первое место по количеству действительных заявок в 2017 году, при этом США и Тринидад и Тобаго заняли второе и третье места, соответственно», - цитирует сообщение Facebook. [30]

Известные программы [ править ]

В октябре 2013 года Google объявил о серьезных изменениях в своей программе вознаграждения за уязвимости. Раньше это была программа вознаграждения за ошибки, охватывающая многие продукты Google . Однако с этим сдвигом программа была расширена и теперь включает в себя набор бесплатных программных приложений и библиотек с высоким уровнем риска , в первую очередь тех, которые предназначены для работы в сети или для работы с низкоуровневыми операционными системами . Заявки, которые Google сочтет соответствующими рекомендациям, будут иметь право на вознаграждение в размере от 500 до 3133,70 долларов США. [31] [32]В 2017 году Google расширил свою программу, включив в нее уязвимости, обнаруженные в приложениях, разработанных третьими сторонами и доступных через Google Play Store. [33] Программа вознаграждений за уязвимости Google теперь включает уязвимости, обнаруженные в продуктах Google, Google Cloud, Android и Chrome, а вознаграждение составляет до 31 337 долларов США. [34]

В ноябре 2013 года Microsoft и Facebook объединились, чтобы спонсировать The Internet Bug Bounty, программу, предлагающую вознаграждения за сообщения о взломах и эксплойтах для широкого спектра программного обеспечения, связанного с Интернетом. [35] В 2017 году GitHub и Ford Foundation спонсировали инициативу, которой руководят добровольцы, в том числе из Uber, Microsoft, Facebook, Adobe, HackerOne, GitHub, NCC Group и Signal Sciences. [36] Программное обеспечение, охватываемое IBB, включает Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL., Nginx , HTTP-сервер Apache и Phabricator . Кроме того, программа предлагала вознаграждения за более широкие эксплойты, затрагивающие широко используемые операционные системы и веб-браузеры , а также Интернет в целом. [37]

В марте 2016 года Питер Кук объявил о первой программе поощрения ошибок федерального правительства США - программе «Взломайте Пентагон». [38] Программа работала с 18 апреля по 12 мая, и более 1400 человек отправили 138 уникальных достоверных отчетов через HackerOne . Всего Министерство обороны США выплатило 71 200 долларов. [39]

В 2019 году Европейская комиссия объявила об инициативе EU-FOSSA 2 bug bounty для популярных проектов с открытым исходным кодом , включая Drupal , Apache Tomcat , VLC , 7-zip и KeePass . Проект осуществлялся при содействии европейской платформы для выявления ошибок Intigriti и HackerOne, и в результате было обнаружено 195 уникальных и действительных уязвимостей. [40]

Open Bug Bounty - это программа поощрения ошибок безопасности, созданная в 2014 году, которая позволяет людям публиковать уязвимости безопасности веб-сайтов и веб-приложений в надежде на вознаграждение от операторов затронутых веб-сайтов.

Крупнейшие в Европе платформы bug bounty: платформы bug bounty управляют программами bug bounty вместо того, чтобы компании снимать работу с их плеч. Они проверяют отчеты, общаются с хакерами, а также решают задачи финансового и трудового администрирования от имени компании. Некоторые сайты в Европе: Intigriti, Yeswehack, HACKRATE и Hacktify.eu.

См. Также [ править ]

  • Охотник за головами
  • Кибероружие промышленность
  • Проверка вознаграждения Кнута (Программа 1980 г.)
  • Список нерешенных проблем информатики
  • Список нерешенных задач по математике
  • Рынок эксплойтов нулевого дня
  • Баунти с открытым исходным кодом
  • Белая шляпа (компьютерная безопасность)
  • Zerodium

Ссылки [ править ]

  1. ^ «Отчет о безопасности с помощью хакеров - Кто такие хакеры и почему они взламывают стр. 23» (PDF) . HackerOne. 2017 . Проверено 5 июня 2018 .
  2. ^ «Программа вознаграждения за ошибки безопасности Mozilla» . Mozilla . Проверено 9 июля 2017 .
  3. Ковач, Эдуард (12 мая 2017 г.). «Mozilla обновляет программу вознаграждений за ошибки» . SecurityWeek . Проверено 3 августа 2017 .
  4. ^ Facebook Security (26 апреля 2014 г.). «Facebook WhiteHat» . Facebook . Проверено 11 марта 2014 года .
  5. ^ "Yahoo! Bug Bounty Program" . HackerOne . Проверено 11 марта 2014 года .
  6. ^ «Программа вознаграждения за оценку уязвимости» . Проверено 11 марта 2014 года .
  7. ^ "Reddit - whitehat" . Reddit . Дата обращения 30 мая 2015 .
  8. ^ "Программа вознаграждения за квадратные ошибки" . HackerOne . Дата обращения 6 августа 2014 .
  9. ^ «Программы вознаграждений Microsoft» . Баунти-программы Microsoft . Техцентр безопасности. Архивировано из оригинала на 2013-11-21 . Проверено 2 сентября 2016 .
  10. ^ Циммерман, Стивен (2017-07-26). «Microsoft объявляет о программе вознаграждений за ошибки Windows и расширении программы вознаграждений Hyper-V» . Разработчики XDA . Проверено 3 августа 2017 .
  11. ^ HackerOne. «Bug Bounties - программы вознаграждения за ошибки с открытым исходным кодом» . Проверено 23 марта 2020 года .
  12. ^ «Пентагон открылся для хакеров - и исправил тысячи ошибок» . Проводной. 10 ноября 2017 . Проверено 25 мая 2018 .
  13. ^ «Структура программы раскрытия уязвимостей для онлайн-систем» . Подразделение кибербезопасности, Отдел компьютерных преступлений и интеллектуальной собственности Уголовное управление Министерства юстиции США. Июль 2017 . Проверено 25 мая 2018 .
  14. ^ "Первая" ошибка "программы вознаграждений" . Twitter. 8 июля 2017 . Проверено 5 июня 2018 .
  15. ^ "Netscape объявляет о выпуске Netscape Bugs Bounty выпуском netscape navigator 2.0" . Интернет-архив. Архивировано из оригинала на 1 мая 1997 года . Дата обращения 21 января 2015 .
  16. ^ «Платформа безопасности приложений Cobalt» . Кобальт . Проверено 30 июля 2016 .
  17. ^ «Страница Цукерберга в Facebook взломана, чтобы доказать уязвимость безопасности» . CNN. 20 августа 2013 . Дата обращения 17 ноября 2019 .
  18. ^ Уайтхэт, Facebook. «Дебетовая карта Facebook whitehat» . CNET.
  19. ^ «Свидетельство Джона Флинна, директора по информационной безопасности, Uber Technologies, Inc» (PDF) . Сенат США. 6 февраля 2018 . Проверено 4 июня 2018 .
  20. ^ «Uber ужесточает политику вымогательства вознаграждений за ошибки» . Сообщение с угрозами. 27 апреля 2018 . Проверено 4 июня 2018 .
  21. ^ Футболка Gate, Yahoo !. "Yahoo! Футболка ворот" . ZDNet .
  22. ^ Bug Bounty, Yahoo !. «Так что я тот парень, который прислал футболку в знак благодарности» . Рамзес Мартинес . Проверено 2 октября 2013 года .
  23. ^ Программа BugBounty, Yahoo !. «Yahoo! запустила свою программу Bug Bounty» . Рамзес Мартинес . Проверено 31 октября 2013 года .
  24. ^ a b Toecker, Майкл (23 июля 2013 г.). «Подробнее о программе вознаграждений за ошибки IntegraXor» . Цифровая облигация . Проверено 21 мая 2019 .
  25. ^ a b Рэган, Стив (18 июля 2013 г.). «Поставщик SCADA сталкивается с общественной реакцией по поводу программы bug bounty» . ОГО . Проверено 21 мая 2019 .
  26. ^ Раши, Фахмид Y. (16 июля 2013). "Поставщик SCADA подвергся критике из-за" жалкой "программы вознаграждения за ошибки" . Неделя безопасности . Проверено 21 мая 2019 .
  27. ^ «Отчет хакера 2019» (PDF) . HackerOne . Проверено 23 марта 2020 года .
  28. ^ «Охотников за ошибками много, но хакеров в Индии мало уважают» . Фактор Daily. 8 февраля 2018 . Проверено 4 июня 2018 .
  29. ^ «Facebook Bug Bounty 2017 Highlights: Исследователям выплачено 880 000 долларов» . Facebook. 11 января 2018 . Проверено 4 июня 2018 .
  30. ^ «Facebook Bug Bounty 2017 Highlights: Исследователям выплачено 880 000 долларов» . Facebook. 11 января 2018 . Проверено 4 июня 2018 .
  31. ^ Goodin, Dan (9 октября 2013). «Google предлагает« льготные »денежные призы за обновления Linux и другого программного обеспечения ОС» . Ars Technica . Проверено 11 марта 2014 года .
  32. ^ Залевский, Михал (9 октября 2013). «Преодолевая награды за уязвимость» . Блог Google по онлайн-безопасности . Проверено 11 марта 2014 года .
  33. ^ "Google запустил новую программу вознаграждения за ошибки, чтобы искоренить уязвимости в сторонних приложениях в Google Play" . Грань. 22 октября 2017 . Проверено 4 июня 2018 .
  34. ^ «Программа вознаграждения за оценку уязвимости» . Проверено 23 марта 2020 года .
  35. ^ Goodin, Dan (6 ноября 2013). «Теперь есть программа вознаграждения за ошибки для всего Интернета» . Ars Technica . Проверено 11 марта 2014 года .
  36. ^ «Facebook, GitHub и Фонд Форда жертвуют 300 000 долларов на программу вознаграждения за ошибки в инфраструктуре Интернета» . VentureBeat. 21 июля 2017 . Проверено 4 июня 2018 .
  37. ^ "Интернет-Bug Bounty" . HackerOne . Проверено 11 марта 2014 года .
  38. ^ «Министерство обороны приглашает проверенных специалистов« взломать »Пентагон» . ДЕПАРТАМЕНТ ОБОРОНЫ США . Проверено 21 июня 2016 .
  39. ^ «Раскрытие уязвимости для взлома Пентагона» . HackerOne . Проверено 21 июня 2016 .
  40. ^ "EU-FOSSA 2 - Краткое изложение Bug Bounties" (PDF) .

Внешние ссылки [ править ]

  • Руководство по поиску багов для продвинутого метода заработка
  • Независимый международный список программ Bug Bounty и раскрытия информации
  • Список наград Crowd Bug Bounty
  • Список наград за ошибки в Интернете
  • Программа вознаграждения за ошибки AT&T
  • Программа вознаграждения за ошибки PayPal Inc
  • Программа вознаграждений за ошибки в Facebook Whitehat
  • Программа вознаграждения за ошибки United Airlines
  • Программа вознаграждения за уязвимости Google
  • Программа обнаружения уязвимостей Zerodium Premium
  • История программ Bug Bounty