Bug bounty program - Bug bounty program

Program odměn za chyby je nabídka nabízená mnoha webovými stránkami, organizacemi a vývojáři softwaru, pomocí níž mohou jednotlivci získat uznání a náhradu za hlášení chyb , zejména těch, které se týkají zneužití zabezpečení a zranitelností .

Tyto programy umožňují vývojářům odhalit a vyřešit chyby dříve, než si je veřejnost uvědomí, a předcházet tak případům rozsáhlého zneužívání. Bug bounty programy byly implementovány velkým počtem organizací, včetně Mozilla , Facebook , Yahoo! , Google , Reddit , Square , Microsoft a odměna za chyby internetu.

Společnosti mimo technologický průmysl, včetně tradičně konzervativních organizací, jako je ministerstvo obrany USA , začaly používat programy odměn za chyby. Využívání programů odměn za chyby Pentagonu je součástí posunu držení těla, který zaznamenal několik amerických vládních agentur obrácený směr od vyhrožování hackerům s bílým kloboukem právními prostředky až po jejich pozvání k účasti v rámci komplexního rámce nebo politiky odhalení zranitelnosti.

Dějiny

Hunter and Ready zahájili první známý program odměn za chyby v roce 1983 pro svůj univerzální operační systém Real-Time Executive . Každý, kdo našel a nahlásil chybu, by na oplátku obdržel Volkswagen Beetle ( aka Bug).

O něco více než deset let později v roce 1995 razil Jarrett Ridlinghafer, inženýr technické podpory společnosti Netscape Communications Corporation, frázi „Bug Bounty“.

Společnost Netscape vyzvala své zaměstnance, aby se prosadili a udělali vše, co je v jejich silách, aby svou práci zvládli. Ridlinghafer uznal, že Netscape má mnoho produktových nadšenců a evangelistů, z nichž některé lze dokonce považovat za fanatické ohledně prohlížečů Netscape. Začal tento fenomén zkoumat podrobněji a zjistil, že mnoho nadšenců Netscape byli ve skutečnosti softwaroví inženýři, kteří sami opravovali chyby produktu a publikovali opravy nebo řešení, a to buď v online diskusních fórech, která byla vytvořena technickou podporou Netscape. oddělení, nebo na neoficiálním webu „Netscape U-FAQ“, který uvádí všechny známé chyby a funkce prohlížeče a také pokyny týkající se zástupných řešení a oprav.

Ridlinghafer si myslel, že by společnost měla tyto zdroje využít, a navrhl „Netscape Bugs Bounty Program“, který představil svému vedoucímu, který následně navrhl, aby ho Ridlinghafer představil na příštím setkání výkonného týmu společnosti. Na příštím setkání výkonného týmu, kterého se zúčastnili James Barksdale , Marc Andreessen a viceprezidenti každého oddělení včetně produktového inženýrství, dostal každý člen kopii návrhu 'Netscape Bugs Bounty Program' a Ridlinghafer byl pozván, aby představil svůj nápad výkonný tým Netscape. Všichni na schůzce přijali tuto myšlenku kromě viceprezidenta pro inženýrství, který nechtěl, aby to pokračovalo, protože je to ztráta času a zdrojů. Nicméně, VP of Engineering byl zrušen a Ridlinghafer dostal počáteční rozpočet 50 000 $ na spuštění s tímto návrhem.

10. října 1995 Netscape spustil první program odměn za technologické chyby pro prohlížeč Netscape Navigator 2.0 Beta.

Kontroverze ohledně zásad zveřejnění ohrožení zabezpečení

V srpnu 2013 oznámil palestinský student informatiky zranitelnost, která komukoli umožnila zveřejnit video na libovolném účtu na Facebooku. Podle e -mailové komunikace mezi studentem a Facebookem se pokusil nahlásit zranitelnost pomocí programu Facebook za odměnu za chyby, ale student byl inženýry Facebooku nepochopen. Později tuto zranitelnost zneužil pomocí facebookového profilu Marka Zuckerberga , což mělo za následek, že mu Facebook odmítl zaplatit odměnu.

Facebook debetní karta „White Hat“, kterou dostali vědci, kteří nahlásili chyby v zabezpečení

Facebook začal platit výzkumným pracovníkům, kteří zjišťují a hlásí bezpečnostní chyby, vydáním vlastních značkových debetních karet „White Hat“, do nichž lze znovu načíst prostředky pokaždé, když výzkumníci objeví nové nedostatky. „Výzkumníci, kteří objevují chyby a vylepšení zabezpečení, jsou vzácní a my si jich vážíme a musíme najít způsoby, jak je odměnit,“ řekl CNET v rozhovoru Ryan McGeehan, bývalý manažer týmu pro reakci na bezpečnost Facebooku . „Mít tuto exkluzivní černou kartu je další způsob, jak je poznat. Mohou se ukázat na konferenci a ukázat tuto kartu a říci:„ Udělal jsem speciální práci pro Facebook. “V roce 2014 Facebook přestal vydávat vědcům debetní karty.

V roce 2016 zažil Uber bezpečnostní incident, když jednotlivec přistoupil k osobním informacím 57 milionů uživatelů Uberu po celém světě. Jedinec údajně požadoval výkupné 100 000 dolarů, aby data spíše zničil než zveřejnil. Ve výpovědi Kongresu společnost Uber CISO uvedla, že společnost před zaplacením 100 000 dolarů ověřila, že data byla zničena. Pan Flynn vyjádřil politování nad tím, že společnost Uber incident v roce 2016 nezveřejnila. V rámci reakce na tento incident společnost Uber spolupracovala s partnerem HackerOne na aktualizaci zásad programu odměn za chyby, aby mimo jiné důkladněji vysvětlila výzkum zranitelnosti v dobré víře a zveřejnění.

Yahoo! byl vážně kritizován za rozeslání Yahoo! Trička jako odměnu pro bezpečnost výzkumných pracovníků pro vyhledávání a podávání zpráv o bezpečnostních zranitelností v Yahoo !, což vyvolalo to, co přišlo být nazýván T-shirt-gate . High-Tech Bridge , ženevská švýcarská společnost pro testování zabezpečení, vydala tiskovou zprávu s názvem Yahoo! nabízel kredit 12,50 $ za zranitelnost, který by mohl být použit na položky značky Yahoo, jako jsou trička, poháry a pera z jeho obchodu. Ramses Martinez, ředitel bezpečnostního týmu Yahoo, později v příspěvku na blogu tvrdil, že stojí za programem odměn za poukázky a že je v zásadě platí ze své vlastní kapsy. Nakonec Yahoo! 31. října téhož roku zahájila svůj nový program odměn za chyby, který umožňuje bezpečnostním vědcům odesílat chyby a přijímat odměny mezi 250 a 15 000 dolary, v závislosti na závažnosti zjištěné chyby.

Podobně, když Ecava v roce 2013 vydala první známý program odměn za chyby pro ICS , byli kritizováni za to, že místo hotovosti nabízeli kredity v obchodech, což nepodněcuje výzkumné pracovníky v oblasti bezpečnosti. Ecava vysvětlila, že program měl být zpočátku omezující a zaměřený na perspektivu lidské bezpečnosti pro uživatele softwaru IntegraXor SCADA , jejich softwaru ICS.

Zeměpis

Ačkoli podání pro odměny za chyby pocházejí z mnoha zemí, několik zemí má tendenci odesílat více chyb a dostávat více odměn. Spojené státy a Indie jsou hlavní země, ze kterých vědci předkládají chyby. Indie, která má první nebo druhý největší počet lovců chyb na světě, v závislosti na tom, kterou zprávu cituje, je na prvním místě programu Facebook Bug Bounty s největším počtem platných chyb. „Indie se umístila na prvním místě s počtem platných podání v roce 2017, přičemž Spojené státy byly na druhém a třetím místě na Trinidad & Tobago,“ citoval Facebook příspěvek.

Pozoruhodné programy

V říjnu 2013 společnost Google oznámila zásadní změnu svého programu odměn za chyby zabezpečení. Dříve to byl program odměn za chyby zahrnující mnoho produktů Google. S posunem byl však program rozšířen tak, aby zahrnoval výběr vysoce rizikových bezplatných softwarových aplikací a knihoven , především těch, které byly navrženy pro vytváření sítí nebo pro funkce operačního systému nízké úrovně . Příspěvky, které společnost Google shledala v souladu s pokyny, budou způsobilé pro odměny v rozmezí od 500 do 3 133,70 USD. V roce 2017 Google rozšířil svůj program tak, aby pokrýval zranitelnosti nalezené v aplikacích vyvinutých třetími stranami a zpřístupněných prostřednictvím Obchodu Google Play. Program odměn za chyby zabezpečení od společnosti Google nyní zahrnuje chyby zabezpečení nalezené v produktech Google, Google Cloud, Android a Chrome a odměny až do výše 31 337 USD.

Microsoft a Facebook se v listopadu 2013 spojily se sponzorem programu The Internet Bug Bounty, programu, který nabízí odměny za hlášení hacků a exploitů pro širokou škálu softwaru souvisejícího s internetem. V roce 2017 sponzorovaly iniciativu GitHub a The Ford Foundation , kterou spravují dobrovolníci mimo jiné od společností Uber, Microsoft, Facebook, Adobe, HackerOne, GitHub, NCC Group a Signal Sciences. Software, na který se vztahuje IBB, zahrnuje Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , Nginx , Apache HTTP Server a Phabricator . Program navíc nabízel odměny za širší využití ovlivňující široce používané operační systémy a webové prohlížeče , jakož i internet jako celek.

V březnu 2016 oznámil Peter Cook první program odměn od federální vlády USA, program „Hack the Pentagon“. Program probíhal od 18. dubna do 12. května a přes 1 400 lidí předložilo prostřednictvím HackerOne 138 jedinečných platných zpráv . Celkově americké ministerstvo obrany vyplatilo 71 200 dolarů.

V roce 2019 Evropská komise oznámila iniciativu EU-FOSSA 2 o odměně za chyby pro populární open source projekty, včetně Drupalu , Apache Tomcat , VLC , 7-zip a KeePass . Projekt byl spolupořádán evropskou platformou odměn za chyby Intigriti a HackerOne a jeho výsledkem bylo celkem 195 unikátních a platných zranitelností.

Open Bug Bounty je program odměn za chyby zabezpečení davu založený v roce 2014, který jednotlivcům umožňuje zveřejňovat slabá místa zabezpečení webových stránek a webových aplikací v naději na odměnu od příslušných provozovatelů webových stránek.

Viz také

Reference