Bug bounty

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 6. huhtikuuta 2021 tarkistetusta versiosta . tarkastukset vaativat 8 muokkausta .

Bug Bounty  -ohjelma on joidenkin verkkosivustojen ja ohjelmistokehittäjien tarjoama ohjelma, jonka avulla ihmiset voidaan tunnistaa ja palkita vikojen löytämisestä , erityisesti niistä, jotka liittyvät hyväksikäyttöihin ja haavoittuvuuksiin . Näiden ohjelmien avulla kehittäjät voivat havaita ja korjata vikoja ennen kuin ne tulevat suuren yleisön tietoon, mikä estää väärinkäytön. Erityisesti Bug Bounty -ohjelmat toteutti Facebook , [1] Yahoo! , [2] Google , [3] Reddit , [4] Square , Apple ja Microsoft. [5]

Historia

Bug Bounty -ohjelman loi alun perin Jarrett Ridlinhafer, kun hän työskenteli Netscape Communications Corporationissa teknisen tuen insinöörinä. Yhtiö rohkaisi työntekijöitään nousemaan yrityksen tikkaita ylöspäin ja tekemään kaiken tarvittavan työn suorittamiseksi.

Vuoden 1996 alussa Jarrett Ridlinhafer keksi lauseen ja idean Bugs Bountylle. Hän tiesi, että yhtiössä oli monia eri tuotteiden harrastajia ja IT-evankelistoja , joista osa vaikutti hänestä jopa fanaattisilta, varsinkin Mosaic / Netscape / Mozilla-selaimen suhteen . Hän alkoi tutkia tilannetta tarkemmin ja huomasi, että suurin osa harrastajista oli itse asiassa ohjelmistokehittäjiä. He korjasivat itse tuotevirheet ja julkaisivat tuotekorjauksia tai parannuksia:

Ridlinhafer katsoi, että yrityksen pitäisi käyttää näitä resursseja, ja kirjoitti johtajalleen ehdotuksen Netscape Bugs Bounty -ohjelmasta , joka kutsui Ridlinhaferin esittelemään sen yhtiön seuraavassa johtokunnan kokouksessa.

Seuraavassa johtoryhmän kokouksessa, johon osallistuivat James Barksdale, Mark Andreessen ja kaikkien osastojen varapuheenjohtajat, mukaan lukien tuotekehitys, jokaiselle jäsenelle annettiin kopio Netscape Bugs Bounty -ohjelman ehdotuksesta, ja Ridlinhafer kutsuttiin esittelemään ideansa Netscapen osastolle. ylin johto .

Kaikki kokoukseen osallistuneet hyväksyivät idean, lukuun ottamatta insinöörijohtajaa , joka ei halunnut edetä, koska se piti sitä ajanhukkaa. Hänen mielipiteensä kuitenkin hylättiin, ja Ridlinhaferille annettiin alkuperäinen 50 000 dollarin budjetti aloittaakseen ehdotuksensa käsittelyn. Ensimmäinen virallinen Bugs Bounty -ohjelma lanseerattiin vuonna 1995. [6] [7] [8]

Ohjelma oli niin suuri menestys, että se on esillä monissa Netscapen menestyskirjoissa.

Tapahtumat

Elokuussa 2013 tietojenkäsittelytieteen opiskelija nimeltä Khalil ilmoitti Facebookissa hyväksikäytöstä , joka antoi kenen tahansa lähettää videon kenen tahansa tilille. Sähköpostiensa mukaan hän yritti ilmoittaa haavoittuvuudesta osana Facebookin Bug Bounty -ohjelmaa, mutta Facebook ymmärsi hänet väärin. Myöhemmin hän itse käytti tätä hyväksikäyttöä Facebookin johtajan Mark Zuckerbergin puolesta , joten häneltä evättiin palkinto. [9]

Facebook on alkanut maksaa tietoturvavirheitä löytäville ja niistä ilmoittaville tutkijoille myöntämällä heille erityisiä "White Hat" -maksukortteja, jotka hyvitetään aina, kun tutkijat löytävät uusia vikoja ja bugeja. "Tutkijat, jotka löytävät virheitä ja mahdollisuuksia parantaa turvajärjestelmää, ovat harvinaisia, ja arvostamme niitä ja meidän pitäisi palkita heidät" , Facebookin entinen tietoturvapäällikkö Ryan McGeehan kertoi CNET: lle. ”Tämän eksklusiivisen mustan kortin saaminen on toinen tapa tunnistaa heidän ansiot. He voivat näyttää tätä korttia konferenssissa ja sanoa: Tein erityisen työn Facebookille. [10] Vuonna 2014 Facebook lopetti pankkikorttien myöntämisen tutkijoille.

Intia, joka on haavoittuvuuksien metsästäjien määrässä maailman ensimmäisten joukossa, [11] johtaa Facebook Bug Bounty -ohjelmaa löydettyjen virheiden määrässä.

Yahoo! Häntä kritisoitiin voimakkaasti T-paitojen lähettämisestä palkintona tietoturvatutkijoille Yahoon haavoittuvuuksien löytämisestä ja niistä raportoimisesta. Tämä tapahtuma tunnettiin nimellä T-paita-portti ("T-paita-portti"). [12] Turvatestausyritys High-Tech Bridge ( Geneve , Sveitsi ) julkaisi lehdistötiedotteen , jonka mukaan Yahoo! tarjosi 12,50 dollarin luottoa haavoittuvuuksista, joita voitiin käyttää merkkituotteiden, kuten T-paitojen, kuppien ja kynien, ostamiseen Yahoo-kaupasta. Ramses Martinez, Yahoon tietoturvajohtaja, totesi myöhemmin blogikirjoituksessaan [13] , että hän oli ohjelman takana ja maksoi sen itse asiassa omasta taskustaan. Tämän seurauksena Yahoo! lanseerasi uuden Bug Bounty -ohjelman 31. lokakuuta samana vuonna, jonka avulla käyttäjät voivat ilmoittaa haavoittuvuuksista ja saada palkintoja 250 - 15 000 dollaria riippuen löydettyjen virheiden kriittisyydestä. [neljätoista]

Samanlaisen ongelman kohtasi Ecava, joka käynnisti ensimmäisen ICS Bug Bounty -ohjelman vuonna 2013 [ 15] [16] . Häntä kritisoitiin siitä, että hän tarjosi kaupassaan luottoa oikean rahan sijaan, mikä ei herättänyt innostusta tutkijoissa [17] . Ecavan mukaan ohjelma oli alun alkaen tarkoitettu rajoitetuksi ja keskittynyt heidän IntegraXor SCADA -tuotteensa käyttäjien turvallisuuteen [15] [16] .

Merkittäviä ohjelmia

Lokakuussa 2013 Google ilmoitti merkittävästä muutoksesta bugipalkkio-ohjelmaansa. Aiemmin Bug Bounty -ohjelma kattoi monia Googlen tuotteita. Ohjelmaa on kuitenkin laajennettu sisältämään useita korkean riskin ilmaisia ​​sovelluksia ja kirjastoja , jotka on suunniteltu ensisijaisesti verkkokäyttöön tai matalan tason käyttöjärjestelmän toimivuuteen. Googlen ohjeiden mukaiset raportit voidaan palkita 500–3133,70 dollarilla. [18] [19]

Vastaavasti Microsoft ja Facebook liittoutuivat marraskuussa 2013 sponsoroidakseen The Internet Bug Bountya, joka tarjoaa palkkion useiden Internetiin liittyvien ohjelmistojen haavoittuvuuksista ja hyväksikäytöistä ilmoittamisesta. [20] Vuonna 2017 tätä ohjelmaa sponsoroivat GitHub ja Ford Foundation ; sitä pyörittävät Uberin, Microsoftin, Facebookin, Adoben ja HackerOnen vapaaehtoiset. [21] Se sisältää tuotteita, kuten Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , nginx , Apache HTTP Server ja Phabricator . Lisäksi ohjelma tarjosi palkinnon laajempien haavoittuvuuksien tunnistamisesta, jotka vaikuttavat laajalti käytettyihin käyttöjärjestelmiin ja verkkoselaimiin sekä Internetiin yleensä. [22]

Maaliskuussa 2016 Peter Cook ilmoitti Yhdysvaltain liittohallituksen ensimmäisestä Bug Bounty -ohjelmasta, Hack the Pentagonista . [23] Ohjelma kesti 18. huhtikuuta - 12. toukokuuta, ja yli 1 400 ihmistä lähetti 138 ainutlaatuista raporttia HackerOnen kautta. Yhteensä Yhdysvaltain puolustusministeriö maksoi 71 200 dollaria. [24] Kesäkuussa puolustusministeri Ash Carter tapasi kaksi osallistujaa, David Dworkenin ja Craig Arendin, kiittääkseen heitä heidän osallistumisestaan ​​ohjelmaan. [25]

Open Bug Bounty  on vuonna 2014 käynnistetty kollektiivinen bugipalkkio-ohjelma, jonka avulla voit ilmoittaa verkkosivustojen ja verkkosovellusten haavoittuvuuksista toivoen, että niiden omistajat palkitsevat sinut.

8. joulukuuta 2020 kazakstanilainen kyberturvallisuuspalveluita tarjoava yritys ULE "Center for Analysis and Investigation of Cyber ​​​​Attacks" käynnisti kansallisen alustan haavoittuvuuksien tunnistamiseksi BugBounty.kz . Alustaan ​​liitettiin yksityisten yritysten lisäksi myös valtion elinten tietojärjestelmiä ja resursseja. Alustan julkaisusta 28. lokakuuta 2021 asti on vastaanotettu 1 039 haavoittuvuusraporttia. Alustan toiminnan aikana tunnistettiin haavoittuvuuksia, jotka johtivat henkilötietojen vuotamiseen kriittisistä tieto- ja viestintäinfrastruktuurilaitoksista ja kokonaisen kaupungin elämää ylläpitävien järjestelmien hallintaan.

Vuonna 2021 Cyberpolygon LLC julkisti ja julkaisi BugBounty.ru- alustan , joka on ensimmäinen alusta Venäjän federaatiossa haavoittuvuuksien etsimiseen sekä vianmetsästäjien ja resurssien omistajien väliseen vuorovaikutukseen. Ohjelman käynnistämisen jälkeen on tunnistettu useita satoja haavoittuvuuksia pienistä superkriittisiin.

Vuonna 2022 Positive Technologies [26] esitteli [27] alustansa The Standoff 365 Bug Bounty . Ensimmäistä kertaa sen tietoturvatutkijat voidaan palkita paitsi haavoittuvuuksien löytämisestä myös liiketoimintariskien toteuttamisesta . Kahdessa kuukaudessa yli 900 tietoturvatutkijaa on rekisteröitynyt alustalle.

Katso myös

Muistiinpanot

  1. Facebookin suojaus. Facebook WhiteHat . Facebook (26. huhtikuuta 2014). Haettu 11. maaliskuuta 2014. Arkistoitu alkuperäisestä 29. tammikuuta 2021.
  2. Yahoo! Bug Bounty -ohjelma . HackerOne . Haettu 11. maaliskuuta 2014. Arkistoitu alkuperäisestä 26. helmikuuta 2018.
  3. "Haavoittuvuuden arvioinnin palkitsemisohjelma" . Haettu 23. marraskuuta 2016. Arkistoitu alkuperäisestä 11. maaliskuuta 2014.
  4. "Reddit - whitehat" . Haettu 23. marraskuuta 2016. Arkistoitu alkuperäisestä 12. huhtikuuta 2018.
  5. "Microsoft Bounty Programs" Arkistoitu 21. marraskuuta 2013.
  6. "Netscape julkaisee Netscape Bugs Bountyn Nestscape Navigator 2.0:n julkaisulla"
  7. "Cobalt Application Security Platform" . Haettu 23. marraskuuta 2016. Arkistoitu alkuperäisestä 9. lokakuuta 2016.
  8. CenturyLink CenturyLinkVoice: Miksi Pinterestin kaltaiset yritykset ajavat bug-palkkioohjelmia pilven kautta ? Haettu 30. heinäkuuta 2016. Arkistoitu alkuperäisestä 12. huhtikuuta 2018.
  9. "Hakkeri julkaisee Facebook-virheilmoituksen Zuckerbergin seinälle" . Haettu 23. marraskuuta 2016. Arkistoitu alkuperäisestä 11. maaliskuuta 2016.
  10. Whitehat, Facebook Facebook whitehat Pankkikortti . CNET. Haettu 2. helmikuuta 2020. Arkistoitu alkuperäisestä 2. helmikuuta 2020.
  11. Vianmetsästäjät eivät kunnioita valkohattuhakkereita Intiassa . Factor Daily (8. helmikuuta 2018). Haettu 4. kesäkuuta 2018. Arkistoitu alkuperäisestä 22. lokakuuta 2019.
  12. T-paita Gate, Yahoo! Yahoo! T-paidan kaulus . ZDNet . Haettu 2. helmikuuta 2020. Arkistoitu alkuperäisestä 28. syyskuuta 2014.
  13. Bug Bounty, Yahoo! Joten minä olen se kaveri, joka lähetti t-paidan kiitokseksi . Ramses Martinez. Haettu 2. lokakuuta 2013. Arkistoitu alkuperäisestä 12. marraskuuta 2020.
  14. BugBounty-ohjelma, Yahoo! Yahoo! lanseerasi Bug Bounty -ohjelmansa . Ramses Martinez. Haettu 31. lokakuuta 2013. Arkistoitu alkuperäisestä 2. helmikuuta 2020.
  15. 12 Michael Toecker . Lisää IntegraXorin Bug Bounty -ohjelmasta . Digital Bond (23. heinäkuuta 2013). Haettu 21. toukokuuta 2019. Arkistoitu alkuperäisestä 27. toukokuuta 2019.
  16. 12 Steve Ragan . SCADA - toimittaja kohtaa julkista vastareaktiota bugipalkkio - ohjelmasta . CSO (18. heinäkuuta 2013). Haettu 21. toukokuuta 2019. Arkistoitu alkuperäisestä 27. heinäkuuta 2020.
  17. Fahmida Y. Rashi. SCADA-toimittaja pahoitteli "säälittävää" bugipalkkioohjelmaa . Turvallisuusviikko (16. heinäkuuta 2013). Haettu 21. toukokuuta 2019. Arkistoitu alkuperäisestä 1. lokakuuta 2019.
  18. Goodin, Dan Google tarjoaa "leet" rahapalkintoja päivityksistä Linuxiin ja muihin käyttöjärjestelmäohjelmistoihin . Ars Technica (9. lokakuuta 2013). Haettu 11. maaliskuuta 2014. Arkistoitu alkuperäisestä 12. maaliskuuta 2016.
  19. Zalewski, Michal Haavoittuvuuspalkintoja pidemmälle menevä . Google Online Security -blogi (9. lokakuuta 2013). Haettu 11. maaliskuuta 2014. Arkistoitu alkuperäisestä 22. syyskuuta 2015.
  20. Goodin, Dan Nyt on bugipalkkio-ohjelma koko Internetiin . Ars Technica (6. marraskuuta 2013). Haettu 11. maaliskuuta 2014. Arkistoitu alkuperäisestä 11. maaliskuuta 2016.
  21. Facebook, GitHub ja Ford Foundation lahjoittavat 300 000 dollaria Internet-infrastruktuurin bugipalkkio-ohjelmaan . Venture Beat (21. heinäkuuta 2017). Haettu 4. kesäkuuta 2018. Arkistoitu alkuperäisestä 2. helmikuuta 2020.
  22. "Internet Bug Bounty" . Haettu 23. marraskuuta 2016. Arkistoitu alkuperäisestä 12. maaliskuuta 2014.
  23. "DoD kutsuu kokeneita asiantuntijoita "hakkeroimaan" Pentagoniin" (downlink) . Haettu 23. marraskuuta 2016. Arkistoitu alkuperäisestä 13. maaliskuuta 2016. 
  24. "Hack the Pentagonin haavoittuvuusilmoitus" Arkistoitu 11. huhtikuuta 2016 Wayback Machinessa .
  25. "18-vuotias hakkeri kunnioitettiin Pentagonissa" . Haettu 23. marraskuuta 2016. Arkistoitu alkuperäisestä 12. huhtikuuta 2018.
  26. Positiiviset teknologiat  // Wikipedia. – 24.7.2022
  27. Valeria Bunina . Positive Technologies palkkasi satoja hakkereita suojelemaan venäläisiä yrityksiä , gazeta.ru  (19.5.2022). Arkistoitu alkuperäisestä 25. heinäkuuta 2022. Haettu 25.7.2022.

Linkit