Bug bounty

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2021. április 6-án felülvizsgált verziótól ; az ellenőrzések 8 szerkesztést igényelnek .

A Bug Bounty  Program bizonyos webhelyek és szoftverfejlesztők által kínált program, amelyen keresztül az emberek felismerhetők és jutalmazhatók, ha hibákat találnak , különösen a kihasználásokhoz és sebezhetőségekhez kapcsolódóakat . Ezek a programok lehetővé teszik a fejlesztők számára, hogy észleljék és kijavítsák a hibákat, mielőtt azok a nagyközönség számára ismertté válnának, megelőzve a visszaéléseket. Különösen a Bug Bounty programokat valósította meg a Facebook , [1] a Yahoo! , [2] Google , [3] Reddit , [4] Square , Apple és Microsoft . [5]

Történelem

A Bug Bounty programot eredetileg Jarrett Ridlinhafer hozta létre, miközben a Netscape Communications Corporationnél dolgozott műszaki támogatási mérnökként. A vállalat arra ösztönözte alkalmazottait, hogy lépjenek feljebb a vállalati ranglétrán, és tegyenek meg mindent, ami a munka elvégzéséhez szükséges.

1996 elején Jarrett Ridlinhafer állt elő a Bugs Bounty kifejezésével és ötletével. Tisztában volt vele, hogy a vállalatnál számos különféle termék iránt érdeklődő és informatikai evangélista van, amelyek közül néhányan még fanatikusnak is tűntek számára, különösen a Mosaic / Netscape / Mozilla böngészővel kapcsolatban . Részletesebben megvizsgálta a helyzetet, és felfedezte, hogy a legtöbb rajongó valójában szoftverfejlesztő. Maguk javították a termékhibákat, és termékjavításokat vagy fejlesztéseket tettek közzé:

Ridlinhafer úgy érezte, hogy a vállalatnak fel kell használnia ezeket az erőforrásokat, és javaslatot írt a menedzserének a Netscape Bugs Bounty Programról , aki felkérte Ridlinhafert, hogy mutassa be azt a vállalat következő vezetői értekezletén.

A következő vezetői értekezleten, amelyen James Barksdale, Mark Andreessen és az összes részleg alelnökei vettek részt, beleértve a termékfejlesztést is, minden tag kapott egy példányt a Netscape Bugs Bounty Program javaslatából, Ridlinhafer pedig meghívást kapott, hogy mutassa be ötletét a Netscape csapatának. felső vezetés .

A tanácskozáson mindenki elfogadta az ötletet, kivéve a mérnöki alelnököt , aki időpocsékolásnak tartotta nem akart továbblépni. Véleményét azonban elutasították, és Ridlinhafer 50 000 dolláros kezdeti költségvetést kapott, hogy megkezdje a javaslatát. Az első hivatalos Bugs Bounty program 1995-ben indult. [6] [7] [8]

A program olyan nagy sikert aratott, hogy a Netscape számos sikerkönyvében szerepel.

Incidensek

2013 augusztusában egy Khalil nevű informatikus hallgató beszámolt a Facebookon egy olyan visszaélésről , amely lehetővé tette, hogy bárki videót tegyen közzé bárki fiókjában. E-mailjei szerint a Facebook Bug Bounty programja keretében próbálta bejelenteni a sebezhetőséget, de a Facebook félreértette. Később ő maga használta fel ezt a kizsákmányolást a Facebook vezetője, Mark Zuckerberg nevében , így megtagadták tőle a jutalmat. [9]

A Facebook elkezdett fizetni azoknak a kutatóknak, akik biztonsági hibákat találnak és jelentenek, speciális "White Hat" bankkártyák kibocsátásával, amelyeket minden alkalommal jóváírnak, ha a kutatók új hibákat és hibákat találnak. „Ritkán találkoznak olyan kutatók, akik hibákat és lehetőségeket találnak a biztonsági rendszer javítására, ezért nagyra értékeljük őket, és meg kell jutalmaznunk őket” – mondta Ryan McGeehan, a Facebook korábbi biztonsági vezetője a CNET - nek . „Ez az exkluzív fekete kártya egy másik módja annak, hogy elismerjék érdemeiket. Felmutathatják ezt a kártyát a konferencián, és elmondhatják: különleges munkát végeztem a Facebooknak. [10] 2014-ben a Facebook leállította a betéti kártyák kibocsátását kutatók számára.

India, amely a világon az elsők között van a sebezhetőségre vadászók számában, [11] vezet a Facebook Bug Bounty programban a talált hibák számában.

Jehu! Erősen kritizálták, amiért pólókat küldött a biztonsági kutatóknak jutalomként a Yahoo sebezhetőségeinek felfedezéséért és bejelentéséért. Ez az esemény T-shirt-gate ("T-shirt-gate") néven vált ismertté . [12] A High-Tech Bridge biztonsági tesztelő cég ( Genf , Svájc ) sajtóközleményt adott ki, amely szerint a Yahoo! 12,50 dollár értékű jóváírást ajánlott fel a sebezhetőségekre, amelyet márkás cikkek, például pólók, csészék és tollak vásárlására lehetett felhasználni a Yahoo áruházból. Ramses Martinez, a Yahoo információbiztonsági igazgatója később egy blogbejegyzésében [13] kijelentette, hogy ő áll a program mögött, és valójában saját zsebből fizette azt. Ennek eredményeként a Yahoo! ugyanazon év október 31-én elindított egy új Bug Bounty programot, amely lehetővé tette a felhasználók számára, hogy jelentsék a sebezhetőséget, és 250 és 15 000 dollár közötti jutalmat kapjanak, a talált hibák kritikusságától függően. [tizennégy]

Hasonló problémával találkozott az Ecava is, amely 2013-ban elindította az első ICS Bug Bounty programot [ 15] [16] . Kritika érte, amiért valódi pénz helyett hitelt kínált az üzletében, ami nem keltett lelkesedést a kutatókban [17] . Az Ecava szerint a program kezdettől fogva korlátozott volt, és az IntegraXor SCADA termékük felhasználóinak biztonságára összpontosított [15] [16] .

Nevezetes programok

2013 októberében a Google jelentős változást jelentett be a bug bounty programjában. Korábban a Bug Bounty program számos Google-terméket lefedett. A program azonban kibővült számos magas kockázatot jelentő ingyenes alkalmazással és könyvtárral , elsősorban a hálózatépítéshez vagy az operációs rendszer alacsony szintű működéséhez tervezettekkel. A Google irányelveinek megfelelő jelentések 500 USD és 3133,70 USD közötti díjazásban részesülhetnek. [18] [19]

Hasonlóképpen, a Microsoft és a Facebook 2013 novemberében összeállt, hogy szponzorálja a The Internet Bug Bounty-t, amely az internethez kapcsolódó szoftverek széles skálájának sebezhetőségeinek és kizsákmányolásainak bejelentéséért kínál jutalmat. [20] 2017-ben ezt a programot a GitHub és a Ford Alapítvány támogatta ; az Uber, a Microsoft, a Facebook, az Adobe és a HackerOne önkéntesei működtetik. [21] Olyan termékeket tartalmaz, mint az Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , nginx , Apache HTTP Server és Phabricator . Ezenkívül a program díjat ajánlott fel a széles körben használt operációs rendszereket és webböngészőket , valamint általában az internetet érintő sebezhetőségek azonosításáért. [22]

2016 márciusában Peter Cook bejelentette az amerikai szövetségi kormány első Bug Bounty programját, a Hack the Pentagont . [23] A program április 18-tól május 12-ig tartott, és több mint 1400 ember nyújtott be 138 egyedi jelentést a HackerOne-on keresztül. Az Egyesült Államok Védelmi Minisztériuma összesen 71 200 dollárt fizetett. [24] Júniusban Ash Carter védelmi miniszter találkozott két résztvevővel, David Dworkennel és Craig Arenddel, hogy megköszönje nekik a programban való részvételt. [25]

Az Open Bug Bounty  egy 2014-ben elindított kollektív hibajavító program, amely lehetővé teszi a webhelyek és webalkalmazások sebezhetőségeinek bejelentését abban a reményben, hogy tulajdonosaik jutalmat kapnak.

2020. december 8-án a kiberbiztonsági szolgáltatásokat nyújtó kazahsztáni vállalat, az ULE "Center for Analysis and Investigation of Cyber ​​​​Attacks" elindította a BugBounty.kz biztonsági rések azonosítására szolgáló nemzeti platformot . A platformhoz a magáncégek mellett az állami szervek információs rendszerei és erőforrásai is bekapcsolódtak. A platform indulásától 2021. október 28-ig 1039 sebezhetőségi jelentés érkezett. A platform működése során olyan sérülékenységeket azonosítottak, amelyek személyes adatok kiszivárgásához vezettek a kritikus információs és kommunikációs infrastruktúra-létesítményekből, és egy egész város életfenntartó rendszerei feletti irányítás elfogásához vezettek.

2021-ben a Cyberpolygon LLC bejelentette és elindította a BugBounty.ru platformot , amely az első platform az Orosz Föderációban a sebezhetőségek felkutatására, valamint a hibavadászok és az erőforrás-tulajdonosok közötti interakcióra. A program indulása óta több száz sebezhetőséget azonosítottak, a kisebbtől a szuperkritikusig.

2022-ben a Positive Technologies [26] bemutatta [27] The Standoff 365 Bug Bounty platformját . A rajta lévő biztonsági kutatók most először nem csak a sebezhetőségek felfedezéséért, hanem az üzleti kockázatok megvalósításáért is jutalmat kaphatnak. Két hónap alatt több mint 900 biztonsági kutató regisztrált a platformon.

Lásd még

Jegyzetek

  1. Facebook biztonság. Facebook WhiteHat . Facebook (2014. április 26.). Letöltve: 2014. március 11. Az eredetiből archiválva : 2021. január 29.
  2. Yahoo! Bug Bounty Program . HackerOne . Letöltve: 2014. március 11. Az eredetiből archiválva : 2018. február 26..
  3. "Sebezhetőséget értékelő jutalomprogram" . Letöltve: 2016. november 23. Az eredetiből archiválva : 2014. március 11.
  4. "Reddit - whitehat" . Letöltve: 2016. november 23. Az eredetiből archiválva : 2018. április 12..
  5. "Microsoft Bounty Programs" archiválva : 2013. november 21.
  6. "A Netscape bejelentette a Netscape Bugs Bounty-t a Nestscape Navigator 2.0 kiadásával"
  7. "Cobalt Application Security Platform" . Letöltve: 2016. november 23. Az eredetiből archiválva : 2016. október 9..
  8. CenturyLink CenturyLinkVoice: Miért futtatnak a Pinteresthez hasonló cégek hibaprogramokat a felhőn keresztül ? Letöltve: 2016. július 30. Az eredetiből archiválva : 2018. április 12..
  9. "A hacker Facebook hibajelentést tesz közzé Zuckerberg falán" . Letöltve: 2016. november 23. Az eredetiből archiválva : 2016. március 11.
  10. Whitehat, Facebook Facebook whitehat Betéti kártya . CNET. Letöltve: 2020. február 2. Az eredetiből archiválva : 2020. február 2.
  11. A bogárvadászok kevesen, de nem tisztelik a fehérkalapos hackereket Indiában . Factor Daily (2018. február 8.). Letöltve: 2018. június 4. Az eredetiből archiválva : 2019. október 22.
  12. Póló Gate, Yahoo! Jehu! Póló gallérja . ZDNet . Letöltve: 2020. február 2. Az eredetiből archiválva : 2014. szeptember 28.
  13. Bug Bounty, Yahoo! Szóval én vagyok az a srác, aki köszönetképpen kiküldte a pólót . Ramszesz Martinez. Letöltve: 2013. október 2. Az eredetiből archiválva : 2020. november 12.
  14. BugBounty program, Yahoo! Jehu! elindította Bug Bounty Programját . Ramszesz Martinez. Letöltve: 2013. október 31. Az eredetiből archiválva : 2020. február 2.
  15. 12 Michael Toecker . További információ az IntegraXor Bug Bounty programjáról . Digital Bond (2013. július 23.). Letöltve: 2019. május 21. Az eredetiből archiválva : 2019. május 27.
  16. 12 Steve Ragan . A SCADA szállítója nyilvános visszajelzéssel néz szembe a hibajavító program miatt . KSH (2013. július 18.). Letöltve: 2019. május 21. Az eredetiből archiválva : 2020. július 27.
  17. Fahmida Y. Rashi. A SCADA szállítója megtámadta a "szánalmas" hibajavító programot . Biztonsági hét (2013. július 16.). Letöltve: 2019. május 21. Az eredetiből archiválva : 2019. október 1..
  18. Goodin, Dan A Google "leet" pénzdíjat kínál a Linux és más operációs rendszer szoftverek frissítéseiért . Ars Technica (2013. október 9.). Letöltve: 2014. március 11. Az eredetiből archiválva : 2016. március 12..
  19. Zalewski, Michal Túllépve a sebezhetőségi jutalmakon . Google Online Security Blog (2013. október 9.). Letöltve: 2014. március 11. Az eredetiből archiválva : 2015. szeptember 22..
  20. Goodin, Dan Most van egy bug bounty program az egész internetre . Ars Technica (2013. november 6.). Letöltve: 2014. március 11. Az eredetiből archiválva : 2016. március 11..
  21. A Facebook, a GitHub és a Ford Alapítvány 300 000 dollárt adományoz az internetes infrastruktúra fejlesztésére szolgáló bug bounty programnak . Venture Beat (2017. július 21.). Letöltve: 2018. június 4. Az eredetiből archiválva : 2020. február 2.
  22. "The Internet Bug Bounty" . Letöltve: 2016. november 23. Az eredetiből archiválva : 2014. március 12.
  23. "A DoD felkért szakértőket a Pentagon feltörésére" (lefelé mutató link) . Letöltve: 2016. november 23. Az eredetiből archiválva : 2016. március 13. 
  24. "Vulnerability disclosure for Hack the Pentagon" Archiválva : 2016. április 11. a Wayback Machine -nél .
  25. "18 éves hacker kitüntetett a Pentagonnál" . Letöltve: 2016. november 23. Az eredetiből archiválva : 2018. április 12..
  26. Pozitív technológiák  // Wikipédia. — 2022-07-24.
  27. Valeria Bunina . A Positive Technologies hackerek százait bérelte fel az orosz vállalatok védelmére , gazeta.ru  (2022. május 19.). Archiválva az eredetiből 2022. július 25-én. Letöltve: 2022. július 25.

Linkek