Bug bounty

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 6. dubna 2021; kontroly vyžadují 8 úprav .

Bug Bounty  Program je program nabízený některými webovými stránkami a vývojáři softwaru, jehož prostřednictvím mohou být lidé rozpoznáni a odměněni za nalezení chyb , zejména těch, které se týkají exploitů a zranitelností . Tyto programy umožňují vývojářům detekovat a opravovat chyby dříve, než se o nich dozví široká veřejnost, a zabraňují tak zneužití. Zejména programy Bug Bounty byly implementovány Facebookem [ 1] Yahoo! , [2] Google , [3] Reddit , [4] Square , Apple a Microsoft. [5]

Historie

Program Bug Bounty původně vytvořil Jarrett Ridlinhafer, když pracoval pro Netscape Communications Corporation jako inženýr technické podpory. Korporace povzbuzovala své zaměstnance, aby postoupili na firemním žebříčku a udělali vše, co bylo nutné, aby svou práci dokončili.

Začátkem roku 1996 přišel Jarrett Ridlinhafer s frází a nápadem na Bugs Bounty. Uvědomoval si, že v korporaci je mnoho nadšenců a IT evangelistů různých produktů, z nichž některé mu dokonce připadaly fanatické, zejména ve vztahu k prohlížeči Mosaic / Netscape / Mozilla . Začal situaci podrobněji zkoumat a zjistil, že většina nadšenců jsou ve skutečnosti vývojáři softwaru. Sami opravovali chyby produktu a publikovali opravy nebo vylepšení produktu:

Ridlinhafer cítil, že by společnost měla využít tyto zdroje, a napsal svému manažerovi návrh na Netscape Bugs Bounty Program , který Ridlinhafera pozval, aby jej představil na příštím jednání vedení společnosti.

Na další schůzi výkonných pracovníků, které se zúčastnili James Barksdale, Mark Andreessen a viceprezidenti všech oddělení, včetně vývoje produktů, dostal každý člen kopii návrhu Netscape Bugs Bounty Program a Ridlinhafer byl pozván, aby svůj nápad představil společnosti Netscape. vrcholový management .

Všichni přítomní na schůzi tuto myšlenku přijali, s výjimkou viceprezidenta inženýrství , který se nechtěl posunout kupředu a považoval to za ztrátu času. Jeho názor byl však zamítnut a Ridlinhafer dostal počáteční rozpočet 50 000 $, aby mohl začít pracovat na svém návrhu. První oficiální program Bugs Bounty byl spuštěn v roce 1995. [6] [7] [8]

Program byl tak velký úspěch, že je uveden v mnoha úspěšných knihách Netscape.

Incidenty

V srpnu 2013 informoval student informatiky jménem Khalil na Facebooku o zneužití , které umožnilo komukoli zveřejnit video na něčí účet. Podle svých e-mailů se pokusil zranitelnost nahlásit v rámci programu Bug Bounty Facebooku, ale Facebook ho špatně pochopil. Později tento exploit sám použil jménem šéfa Facebooku Marka Zuckerberga , takže mu byla odepřena odměna. [9]

Facebook začal platit výzkumníky, kteří najdou a nahlásí bezpečnostní chyby, tím, že jim vydá speciální debetní karty „White Hat“, které jsou připsány vždy, když výzkumníci najdou nové chyby a chyby. „Výzkumníci, kteří najdou chyby a příležitosti ke zlepšení bezpečnostního systému, jsou vzácní a my si jich vážíme a měli bychom je odměnit,“ řekl CNET Ryan McGeehan, bývalý bezpečnostní manažer Facebooku . „Mít tuto exkluzivní černou kartu je další způsob, jak uznat jejich zásluhy. Na konferenci mohou ukázat tuto kartu a říct: Udělal jsem speciální práci pro Facebook. [10] V roce 2014 přestal Facebook pro výzkumníky vydávat debetní karty.

Indie, která se řadí mezi první na světě v počtu lovců zranitelností, [11] vede program Facebook Bug Bounty v počtu nalezených chyb.

Yahoo! byl silně kritizován za rozesílání triček jako odměnu bezpečnostním výzkumníkům za objevování a nahlašování zranitelností na Yahoo. Tato událost se stala známou jako T-shirt-gate (“T-shirt-gate”). [12] Společnost High-Tech Bridge pro testování bezpečnosti ( Ženeva , Švýcarsko ) vydala tiskovou zprávu, v níž uvádí, že Yahoo! nabídl kredit 12,50 $ na zranitelnost, který by bylo možné použít k nákupu značkových věcí, jako jsou trička, šálky a pera z obchodu Yahoo Store. Ramses Martinez, ředitel informační bezpečnosti Yahoo, později v příspěvku na blogu [13] uvedl, že za programem stál a ve skutečnosti ho zaplatil ze své kapsy. Výsledkem je, že Yahoo! 31. října téhož roku spustil nový program Bug Bounty, který uživatelům umožňoval hlásit zranitelnosti a dostávat odměny v rozmezí od 250 do 15 000 USD v závislosti na kritickosti nalezených chyb. [čtrnáct]

S podobným problémem se setkala společnost Ecava, která v roce 2013 spustila první program ICS Bug Bounty [ 15] [16] . Byla kritizována za to, že ve svém obchodě nabízela místo skutečných peněz kredit, což mezi badateli nevzbudilo nadšení [17] . Podle Ecavy byl program od počátku zamýšlen jako omezený a zaměřený na bezpečnost uživatelů jejich produktu IntegraXor SCADA [15] [16] .

Pozoruhodné programy

V říjnu 2013 Google oznámil významnou změnu ve svém programu odměn za chyby. Dříve program Bug Bounty pokrýval mnoho produktů Google. Program byl však rozšířen o řadu vysoce rizikových bezplatných aplikací a knihoven , především těch, které jsou určeny pro práci v síti nebo nízkoúrovňovou funkčnost operačního systému. Zprávy, které splňují pokyny společnosti Google, mohou být odměněny v rozmezí od 500 do 3133,70 USD. [18] [19]

Podobně se v listopadu 2013 spojily Microsoft a Facebook, aby sponzorovaly The Internet Bug Bounty, která nabízí odměnu za nahlášení zranitelností a zneužití pro širokou škálu softwaru souvisejícího s internetem. [20] V roce 2017 byl tento program sponzorován GitHub a Ford Foundation ; provozují ho dobrovolníci z Uberu, Microsoftu, Facebooku, Adobe a HackerOne. [21] Zahrnuje produkty jako Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , nginx , Apache HTTP Server a Phabricator . Program navíc nabídl ocenění za identifikaci širších zranitelností ovlivňujících široce používané operační systémy a webové prohlížeče a také internet obecně. [22]

V březnu 2016 Peter Cook oznámil první program Bug Bounty federální vlády USA, Hack the Pentagon . [23] Program probíhal od 18. dubna do 12. května a přes 1400 lidí zaslalo 138 unikátních zpráv prostřednictvím HackerOne. Celkem americké ministerstvo obrany zaplatilo 71 200 dolarů. [24] V červnu se ministr obrany Ash Carter setkal se dvěma účastníky, Davidem Dworkenem a Craigem Arendem, aby jim poděkoval za účast v programu. [25]

Open Bug Bounty  je kolektivní bug bounty program spuštěný v roce 2014, který vám umožňuje hlásit zranitelnosti webových stránek a webových aplikací v naději, že budou odměněni jejich vlastníky.

8. prosince 2020 spustila kazašská společnost pro poskytování služeb kybernetické bezpečnosti ULE „Centrum pro analýzu a vyšetřování kybernetických útoků“ Národní platformu pro identifikaci zranitelností BugBounty.kz . Kromě soukromých firem byly na platformu napojeny také informační systémy a zdroje státních orgánů. Od spuštění platformy do 28. října 2021 bylo přijato 1 039 zpráv o zranitelnosti. Během provozu platformy byly identifikovány zranitelnosti, které vedly k úniku osobních údajů z kritických zařízení informační a komunikační infrastruktury a k zachycení kontroly nad systémy podpory života celého města.

V roce 2021 společnost Cyberpolygon LLC oznámila a spustila platformu BugBounty.ru , první platformu v Ruské federaci pro vyhledávání zranitelností a interakci mezi lovci chyb a vlastníky zdrojů. Od spuštění programu bylo identifikováno několik stovek zranitelností, od drobných až po superkritické.

V roce 2022 společnost Positive Technologies [26] představila [27] svou platformu The Standoff 365 Bug Bounty . Bezpečnostní výzkumníci na něm mohou být poprvé odměňováni nejen za objevování zranitelností, ale také za implementaci obchodních rizik. Za dva měsíce se na platformě zaregistrovalo více než 900 bezpečnostních výzkumníků .

Viz také

Poznámky

  1. Zabezpečení Facebooku. Facebook WhiteHat . Facebook (26. dubna 2014). Získáno 11. března 2014. Archivováno z originálu 29. ledna 2021.
  2. Yahoo! Program Bug Bounty . HackerOne . Získáno 11. března 2014. Archivováno z originálu 26. února 2018.
  3. „Program odměn za hodnocení zranitelnosti“ . Získáno 23. listopadu 2016. Archivováno z originálu 11. března 2014.
  4. "Reddit - whitehat" . Získáno 23. listopadu 2016. Archivováno z originálu 12. dubna 2018.
  5. „Microsoft Bounty Programs“ Archivováno 21. listopadu 2013.
  6. "Netscape oznamuje Netscape Bugs Bounty s vydáním nestscape navigator 2.0"
  7. "Cobalt Application Security Platform" . Získáno 23. listopadu 2016. Archivováno z originálu 9. října 2016.
  8. CenturyLink CenturyLinkVoice: Proč společnosti jako Pinterest provozují programy odměn za chyby prostřednictvím cloudu . Získáno 30. července 2016. Archivováno z originálu 12. dubna 2018.
  9. „Hacker zveřejní zprávu o chybě Facebooku na Zuckerbergově zdi“ . Získáno 23. listopadu 2016. Archivováno z originálu 11. března 2016.
  10. Whitehat, Facebook Facebook whitehat Debetní karta . CNET. Staženo 2. února 2020. Archivováno z originálu 2. února 2020.
  11. Lovci štěnic pozor, ale respekt k hackerům s bílým kloboukem v Indii je vzácný . Faktor Daily (8. února 2018). Získáno 4. června 2018. Archivováno z originálu dne 22. října 2019.
  12. Tričko Gate, Yahoo! Yahoo! Límec trička . ZDNet . Staženo 2. února 2020. Archivováno z originálu dne 28. září 2014.
  13. Bug Bounty, Yahoo! Takže já jsem ten, kdo poslal to tričko jako poděkování . Ramses Martinez. Získáno 2. října 2013. Archivováno z originálu 12. listopadu 2020.
  14. BugBounty Program, Yahoo! Yahoo! zahájila svůj Bug Bounty Program . Ramses Martinez. Získáno 31. října 2013. Archivováno z originálu 2. února 2020.
  15. 12 Michael Toecker . Více o programu IntegraXor Bug Bounty . Digitální dluhopis (23. července 2013). Staženo 21. 5. 2019. Archivováno z originálu 27. 5. 2019.
  16. 12 Steve Ragan . Prodejce SCADA čelí veřejnému odporu kvůli programu bug bounty . ČSÚ (18. července 2013). Získáno 21. května 2019. Archivováno z originálu dne 27. července 2020.
  17. Fahmida Y. Rashi. Prodejce SCADA porazil „ubohý“ program odměn za chyby . Týden bezpečnosti (16. července 2013). Staženo 21. 5. 2019. Archivováno z originálu 1. 10. 2019.
  18. Dobrý den, Dan Google nabízí „leet“ peněžní ceny za aktualizace Linuxu a dalšího softwaru OS . Ars Technica (9. října 2013). Získáno 11. března 2014. Archivováno z originálu 12. března 2016.
  19. Zalewski, Michal Za hranice odměn za zranitelnost . Blog Google Online Security (9. října 2013). Získáno 11. března 2014. Archivováno z originálu 22. září 2015.
  20. Goodin, Dane Nyní je k dispozici bug bounty program pro celý internet . Ars Technica (6. listopadu 2013). Získáno 11. března 2014. Archivováno z originálu 11. března 2016.
  21. Facebook, GitHub a Ford Foundation věnují 300 000 dolarů na odměňování za chyby v internetové infrastruktuře . Venture Beat (21. července 2017). Získáno 4. června 2018. Archivováno z originálu 2. února 2020.
  22. "The Internet Bug Bounty" . Získáno 23. listopadu 2016. Archivováno z originálu 12. března 2014.
  23. „DoD zve prověřené specialisty k ‚hacknutí‘ Pentagonu“ (stahovací odkaz) . Získáno 23. listopadu 2016. Archivováno z originálu 13. března 2016. 
  24. „Odhalení zranitelnosti pro Hack the Pentagon“ Archivováno 11. dubna 2016 na Wayback Machine .
  25. „18letý hacker oceněn v Pentagonu“ . Získáno 23. listopadu 2016. Archivováno z originálu 12. dubna 2018.
  26. Pozitivní technologie  // Wikipedie. — 24. 7. 2022.
  27. Valeria Bunina . Positive Technologies najala stovky hackerů, aby chránili ruské společnosti , gazeta.ru  (19. května 2022). Archivováno z originálu 25. července 2022. Staženo 25. července 2022.

Odkazy