Všetok softvér obsahuje chyby alebo nedostatky, ktoré spôsobujú problémy. Siaha od banálnych problémov, ktoré žiadnym zásadným spôsobom neovplyvňujú výkon softvéru, až po vážne bezpečnostné chyby.
Chyby môže byť ťažké odhaliť, a preto mnohé technologické spoločnosti majú programy odmeňovania chýb. Ale čo presne sú bug bounty programy? Ako fungujú a ako pomáhajú zlepšiť bezpečnosť produktu?
Ako fungujú programy Bug Bounty
Spoločnosti spúšťajú bug bounty programy s cieľom motivovať biely klobúk hackeri hľadať bezpečnostné diery a podobné zraniteľnosti v softvéri. Pre tých, ktorí objavia chybu, je zvyčajne viac než slušná peňažná odmena, bez ohľadu na to, aká bezvýznamná sa môže bežnému človeku zdať.
A nie sú to len malé, rozvíjajúce sa spoločnosti, ktoré majú bug bounty programy. V skutočnosti ich prevádzkuje väčšina technologických gigantov vrátane spoločností Google, Microsoft, Facebook a Apple. Podrobnosti o týchto programoch možno zvyčajne nájsť na oficiálnych stránkach spoločnosti. Častejšie existuje niekoľko úrovní alebo kategórií. Ale v zásade platí, že čím významnejšia chyba, tým vyššia odmena.
Keď hacker s bielym klobúkom objaví chybu, odošle podrobnú správu o odhalení, v ktorej vysvetlí, čo našiel. Inžinieri spoločnosti potom preskúmajú a preskúmajú podanie, a ak sa zistenia výskumníka ukážu ako presné a užitočné, budú informovaní a dostanú peňažnú odmenu.
Tento systém funguje pre spoločnosti aj nezávislých výskumníkov. Z pohľadu akejkoľvek spoločnosti je lepšie, keď etický hacker objaví chybu, ako aktér hrozby, ktorý by s najväčšou pravdepodobnosťou pokračoval využite to skôr, než bude opravené, čo môže spôsobiť miliónové škody. Hackeri na druhej strane robia pekný kus zmeny účasťou na programoch odmeňovania chýb – niektorí dokonca zarábajú na plný úväzok objavovaním slabín softvéru.
Príklady programov Bug Bounty, ktoré zlepšujú bezpečnosť softvéru
Je dobré vedieť, ako bug bounty programy teoreticky fungujú, ale pozrime sa na niekoľko skutočných príkladov spoločností vyplácajúcich obrovské sumy hackerom s bielym klobúkom.
V spolupráci s bug bounty platformou Immunefi, decentralizovanou blockchain mostovou platformou Wormhole spustila vo februári 2022 odmenový program, ktorý ponúka 10 miliónov dolárov každému, kto objaví kritické zabezpečenie chyba. Čoskoro ho objavil hacker s bielym klobúkom pod pseudonymom satya0x. Ako Immunefi vysvetlil v a Stredná chyba mohla viesť k zablokovaniu prostriedkov používateľov, takže satya0x dostal 10 miliónov dolárov za jej zverejnenie.
Aj vo februári 2022 burza kryptomien Coinbase zaplatil odmenu za chyby vo výške 250 000 USD nezávislému výskumníkovi za objavenie veľkej chyby v obchodnom rozhraní platformy.
Aurora Labs, spoločnosť stojaca za virtuálnym strojom Aurora Ethereum (ETH), vyplatila v apríli 2022 masívnu odmenu 6 miliónov dolárov. Peniaze boli udelené etickému hackerovi známemu ako pwning.eth po tom, čo objavil zraniteľnosť, ktorá by umožnilo aktérom hrozby raziť nekonečnú zásobu kryptomeny Ethereum v Aurore motora.
Kanadský gigant elektronického obchodu Shopify, medzitým prekonala svoj vlastný rekord v roku 2021, keď jej odmeny dosiahli výšku 1 milión USD. V tom roku spoločnosť dostala celkovo 3 000 hlásení o chybách od hackerov white hat z celého sveta. V reakcii na to Shopify zvýšil svoju maximálnu odmenu na 100 000 dolárov.
Tieto čísla sa môžu zdať absurdne vysoké, ale v skutočnosti nie sú v porovnaní s množstvom peňazí a údajov, ktoré by kybernetickí zločinci inak mohli získať objavovaním zraniteľností. Wormhole stanovil len odmenu za chyby vo výške 10 miliónov dolárov po tom, čo stratil 320 miliónov dolárov v dôsledku porušenia. Laboratóriá Aurora odmenili hackera s bielym klobúkom, pretože 6 miliónov dolárov bledne v porovnaní so stratou 240 miliónov dolárov v hodnote ETH, zatiaľ čo Coinbase a Shopify pravdepodobne ušetrili desiatky miliónov kompenzáciou usilovných výskumníkov.
5 najlepších vysoko platených programov odmeny za chyby
Pretože spoločnosti v skutočnosti ušetria veľa peňazí nastavením programov odmeňovania za chyby, existuje celý rad možností, z ktorých si výskumníci môžu vybrať. Ak ste hackerom v bielom klobúku alebo by ste sa ním chceli stať, tu je päť vysoko platených bug bounty programov, ktoré je potrebné zvážiť.
Apple Security Bounty je jedným z najpopulárnejších bug bounty programov na svete. Odmeny sa pohybujú od 5 000 USD za objavenie zraniteľností na uzamknutej obrazovke až po 2 milióny USD za bezpečnostné diery, ktoré by umožnili aktérovi hrozby obísť. Ochrana režimu uzamknutia. Jediné, čo musíte urobiť, aby ste mohli odoslať hlásenie o chybe (ktoré musí byť dôkladné a podrobné), je prihlásiť sa pomocou svojho Apple ID.
Ďalší populárny bug bounty program prevádzkuje spoločnosť Microsoft, ktorá ponúka širokú škálu odmien. Podobne ako v prípade Apple, aj program Microsoftu je rozdelený do desiatok rôznych kategórií. Napríklad, ak objavíte zraniteľnosť v Microsoft. NET, môžete očakávať platbu až 15 000 $. Ale ak objavíte jeden v Microsoft Hyper-V, môžete získať odmenu až 250 000 USD.
Program Samsung Rewards sa sústreďuje na mobilné produkty spoločnosti. Má pomerne prísne pravidlá, takže si ich pred odoslaním chyby pozorne prečítajte. Upozorňujeme tiež, že inžinieri spoločnosti berú do úvahy iba chyby, ktoré ovplyvňujú bezpečnosť zariadení Samsung. Odmeny sa pohybujú od 200 do 200 000 USD.
V bounty programe Google Bug Hunters dosahujú odmeny až 30 000 USD. Lovci chýb, ako sú hackeri s bielym klobúkom často označovaní, môžu nahlásiť chyby v službách Gmail, YouTube, BlogSpot a ďalších službách Google. Tento program má veľmi aktívnu komunitu a vlastnú online univerzitu, ktorá môže byť skvelým zdrojom pre začínajúcich výskumníkov.
Odmeňovací program Meta pokrýva Facebook, Instagram, WhatsApp, Messenger a množstvo ďalších produktov. Ak chcete získať odmenu (minimum je 500 USD), musíte nájsť zraniteľné miesta, ktoré predstavujú bezpečnostné riziko alebo riziko ochrany súkromia a spĺňajú jasne definované požiadavky. Všetky platné hlásenia dostanú odpoveď. Ak viacerí lovci zistia rovnaký problém, odmena dostane ten, kto ako prvý podá hlásenie.
Bug Bounty programy: To najlepšie z Crowdsourced bezpečnosti
Bug bounty programy predstavujú to najlepšie z crowdsourcingového zabezpečenia. A nie sú to len technologické spoločnosti a výskumníci v oblasti kybernetickej bezpečnosti, ktorí z nich profitujú – všetci vrátane spotrebiteľov.
Pre niekoho je lov chrobákov koníčkom a pre iného plnohodnotnou kariérou. Ak patríte do druhej kategórie alebo ašpirujete na to, existuje veľa online kurzov, ktoré sa oplatí pozrieť.