Vsa programska oprema ima napake ali napake, ki povzročajo težave. Segajo od banalnih težav, ki ne vplivajo bistveno na delovanje programske opreme, do resnih varnostnih ranljivosti.
Hrošče je težko opaziti, zato imajo številna tehnološka podjetja programe za nagrado za hrošče. Toda kaj točno so bug bounty programi? Kako delujejo in kako pomagajo izboljšati varnost izdelka?
Kako delujejo programi Bug Bounty
Podjetja uvajajo programe nagrajevanja hroščev, da bi jih spodbudili beli klobuk hekerji za iskanje varnostnih lukenj in podobnih ranljivosti v programski opremi. Za tiste, ki odkrijejo hrošča, je običajno več kot spodobna denarna nagrada, ne glede na to, kako nepomembna se zdi povprečnemu človeku.
Programov nagrajevanja hroščev pa nimajo le majhna, obetavna podjetja. Pravzaprav jih upravlja večina tehnoloških velikanov, vključno z Googlom, Microsoftom, Facebookom in Appleom. Podrobnosti o teh programih so običajno na voljo na uradni spletni strani podjetja. Pogosteje obstaja več stopenj ali kategorij. Toda načeloma velja, da pomembnejša kot je napaka, višja je nagrada.
Ko beli heker odkrije hrošč, predloži podrobno poročilo o razkritju, v katerem pojasni, kaj je našel. Inženirji podjetja nato pregledajo in raziščejo predložitev, in če se ugotovitve raziskovalca izkažejo za točne in uporabne, so obveščeni in prejmejo denarno nagrado.
Ta sistem deluje tako za podjetja kot za neodvisne raziskovalce. Z vidika katerega koli podjetja je bolje, da etični heker odkrije hrošč kot akter grožnje, ki bi najverjetneje nadaljeval izkoristite ga, preden ga popravite, kar bi lahko povzročilo milijonsko škodo. Po drugi strani pa hekerji s sodelovanjem v programih nagrajevanja hroščev naredijo lep del sprememb – nekateri celo zaslužijo za polni delovni čas z odkrivanjem ranljivosti programske opreme.
Primeri programov za nagrado za napake, ki izboljšujejo varnost programske opreme
Dobro je vedeti, kako teoretično delujejo programi za nagrajevanje hroščev, vendar si poglejmo nekaj resničnih primerov podjetij, ki izplačujejo ogromne vsote belim hekerjem.
V sodelovanju z bug bounty platformo Immunefi, decentralizirano blockchain premostitveno platformo Wormhole februarja 2022 uvedel program nagrad, ki ponuja 10 milijonov dolarjev vsakomur, ki odkrije kritično varnostno napaka. Kmalu je heker z belim klobukom s psevdonimom satya0x odkril enega. Kot je Immunefi pojasnil v a Srednje objave je hrošč lahko povzročil zaklepanje sredstev uporabnikov, zato je satya0x prejel 10 milijonov $ za razkritje.
Tudi februarja 2022 menjalnica kriptovalut Coinbase je neodvisnemu raziskovalcu izplačal 250.000 dolarjev nagrade za hrošče, ker je odkril večjo napako v trgovalnem vmesniku platforme.
Laboratoriji Aurora, podjetje, ki stoji za virtualnim strojem Aurora Ethereum (ETH), je aprila 2022 izplačalo ogromno nagrado v višini 6 milijonov dolarjev. Denar je bil dodeljen etičnemu hekerju, znanemu kot pwning.eth, potem ko je odkril ranljivost, ki bi akterjem groženj omogočil, da v Aurori skovajo neskončno količino kriptovalute Ethereum. motor.
Kanadski velikan elektronske trgovine Shopify, medtem pa je leta 2021 podrl lastni rekord, ko so njegove nagrade za nagrade znašale 1 milijon dolarjev. Tistega leta je podjetje prejelo skupaj 3000 poročil o hroščih od belih hekerjev z vsega sveta. Kot odgovor je Shopify zvišal svojo največjo nagrado na 100.000 $.
Te številke se morda zdijo absurdno visoke, vendar v resnici niso v primerjavi s količino denarja in podatkov, ki bi jih kiberkriminalci sicer lahko zaslužili z odkrivanjem ranljivosti. Wormhole je določil le 10 milijonov dolarjev nagrade za hrošče, potem ko je izgubil 320 milijonov dolarjev zaradi kršitve. Aurora Labs je nagradila hekerja z belim klobukom, ker je 6 milijonov dolarjev bledo v primerjavi z izgubo 240 milijonov dolarjev vreden ETH, medtem ko sta Coinbase in Shopify verjetno prihranila na desetine milijonov s kompenzacijo marljivega raziskovalci.
5 najboljših visoko plačanih programov za nagrado za napake
Ker podjetja dejansko prihranijo ogromno denarja z vzpostavitvijo nagradnih programov za nagrajevanje hroščev, lahko raziskovalci izbirajo med številnimi možnostmi. Če ste slučajno beli heker ali bi to radi postali, je tukaj pet visoko plačanih programov za nagrado za napake, ki jih morate upoštevati.
Apple Security Bounty je eden najbolj priljubljenih programov za nagrado za napake na svetu. Nagrade se gibljejo od 5000 $ za odkritje ranljivosti zaklenjenega zaslona do 2 milijonov $ za varnostne luknje, ki bi akterju grožnje omogočile obiti Zaščite v načinu zaklepanja. Vse, kar morate storiti, da oddate poročilo o napaki (ki mora biti temeljito in podrobno), je, da se prijavite s svojim Apple ID-jem.
Še en priljubljen program za nagrajevanje hroščev vodi Microsoft, ki ponuja širok nabor nagrad. Podobno kot Applov je tudi Microsoftov program razdeljen na desetine različnih kategorij. Na primer, če odkrijete ranljivost v Microsoft. NET framework, lahko pričakujete plačilo do 15.000 USD. Če pa enega odkrijete v Microsoft Hyper-V, lahko dobite nagrado do 250.000 USD.
Program Samsung Rewards je osredotočen na mobilne izdelke podjetja. Ima razmeroma stroge pravilnike, zato jih natančno preberite, preden oddate napako. Upoštevajte tudi, da inženirji podjetja upoštevajo le napake, ki vplivajo na varnost naprav Samsung. Nagrade se gibljejo med 200 in 200.000 $.
V programu nagrad Google Bug Hunters se nagrade dvignejo do 30.000 $. Lovci na hrošče, kot se pogosto imenuje hekerje z belimi klobuki, lahko prijavijo hrošče v Gmailu, YouTubu, BlogSpotu in drugih Googlovih storitvah. Ta program ima zelo aktivno skupnost in lastno spletno univerzo, ki je lahko odličen vir za raziskovalce začetnike.
Metin program nagrad zajema Facebook, Instagram, WhatsApp, Messenger in vrsto drugih izdelkov. Če želite biti obravnavani za nagrado (najmanj je 500 USD), morate najti ranljivosti, ki predstavljajo tveganje za varnost ali zasebnost, in izpolnjevati jasno opredeljene zahteve. Vse veljavne prijave prejmejo odgovor. Če več lovcev opazi isto težavo, prejme nagrado tisti, ki prvi odda poročilo.
Programi za nagrado za hrošče: najboljša varnost množičnih virov
Programi nagrajevanja hroščev predstavljajo najboljšo varnost množice. In koristi od njih nimajo samo tehnološka podjetja in raziskovalci kibernetske varnosti – vsi imajo, vključno s potrošniki.
Za nekatere je lov na žuželke hobi, za druge pa polnopravna kariera. Če spadate v slednjo kategorijo ali si želite, je na voljo veliko spletnih tečajev, ki si jih je vredno ogledati.
