Bug dusør

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 6. april 2021; checks kræver 8 redigeringer .

Bug Bounty  -programmet er et program, der tilbydes af nogle websteder og softwareudviklere, hvorigennem folk kan blive genkendt og belønnet for at finde fejl , især dem, der er relateret til udnyttelser og sårbarheder . Disse programmer giver udviklere mulighed for at opdage og rette fejl, før de bliver kendt for offentligheden, hvilket forhindrer misbrug. Især Bug Bounty-programmer blev implementeret af Facebook , [1] Yahoo! , [2] Google , [3] Reddit , [4] Square , Apple og Microsoft . [5]

Historie

Bug Bounty-programmet blev oprindeligt skabt af Jarrett Ridlinhafer, mens han arbejdede for Netscape Communications Corporation som teknisk supportingeniør. Virksomheden opfordrede sine ansatte til at bevæge sig op ad virksomhedsstigen og gøre, hvad der var nødvendigt for at få arbejdet gjort.

I begyndelsen af ​​1996 kom Jarrett Ridlinhafer på sætningen og ideen til Bugs Bounty. Han var klar over, at der var mange entusiaster og it-evangelister af forskellige produkter i virksomheden, hvoraf nogle endda virkede fanatiske for ham, især i forhold til Mosaic / Netscape / Mozilla-browseren . Han begyndte at undersøge situationen mere detaljeret og opdagede, at de fleste af entusiasterne faktisk var softwareudviklere. De rettede selv produktfejl og udgav produktrettelser eller forbedringer:

Ridlinhafer mente, at virksomheden skulle bruge disse ressourcer og skrev et forslag til sin leder om Netscape Bugs Bounty-programmet , som inviterede Ridlinhafer til at præsentere det på virksomhedens næste direktionsmøde.

På det næste direktionsmøde, hvor James Barksdale, Mark Andreessen og vicepræsidenter for alle afdelinger, inklusive produktudvikling deltog, fik hvert medlem en kopi af Netscape Bugs Bounty Program- forslaget, og Ridlinhafer blev inviteret til at præsentere sin idé for Netscapes topledelse .

Alle, der var til stede på mødet, accepterede ideen, med undtagelse af vicepræsidenten for teknik , som ikke ønskede at komme videre, da han betragtede det som spild af tid. Men hans mening blev afvist, og Ridlinhafer fik et indledende budget på $50.000 til at begynde arbejdet med sit forslag. Det første officielle Bugs Bounty-program blev lanceret i 1995. [6] [7] [8]

Programmet var så stor en succes, at det er med i mange af Netscapes succesbøger.

Hændelser

I august 2013 rapporterede en datalogistuderende ved navn Khalil på Facebook om en udnyttelse , der tillod enhver at poste en video på enhvers konto. Ifølge hans e-mails forsøgte han at rapportere sårbarheden som en del af Facebooks Bug Bounty-program, men Facebook misforstod ham. Senere brugte han selv denne udnyttelse på vegne af Facebook-chefen Mark Zuckerberg , så han blev nægtet en belønning. [9]

Facebook er begyndt at betale forskere, der finder og rapporterer sikkerhedsfejl, ved at udstede specielle "White Hat"-debetkort til dem, der krediteres, hver gang forskere finder nye fejl og fejl. "Forskere, der finder fejl og muligheder for at forbedre sikkerhedssystemet, er sjældne, og vi sætter pris på dem og bør belønne dem," sagde Ryan McGeehan, en tidligere Facebook-sikkerhedschef, til CNET . "At have dette eksklusive sorte kort er en anden måde at anerkende deres fortjeneste på. De kan vise dette kort på konferencen og sige: Jeg gjorde et særligt stykke arbejde for Facebook. [10] I 2014 stoppede Facebook med at udstede debetkort til forskere.

Indien, som er blandt de første i verden i antallet af sårbarhedsjægere, [11] fører Facebook Bug Bounty-programmet i antallet af fundne fejl.

Yahoo! blev stærkt kritiseret for at sende T-shirts ud som en belønning til sikkerhedsforskere for at opdage og rapportere sårbarheder på Yahoo. Denne begivenhed blev kendt som T-shirt-gate ("T-shirt-gate"). [12] Sikkerhedstestfirmaet High-Tech Bridge ( Genève , Schweiz ) udsendte en pressemeddelelse om, at Yahoo! tilbød en kredit på 12,50 USD for sårbarheder, som kunne bruges til at købe mærkevarer såsom T-shirts, kopper og kuglepenne fra Yahoo-butikken. Ramses Martinez, Yahoos direktør for informationssikkerhed, udtalte senere i et blogindlæg [13] , at han stod bag programmet og faktisk betalte for det af egen lomme. Som et resultat, Yahoo! lancerede et nyt Bug Bounty-program den 31. oktober samme år, som gjorde det muligt for brugere at rapportere sårbarheder og modtage belønninger fra $250 til $15.000, afhængigt af kritikaliteten af ​​de fundne fejl. [fjorten]

Et lignende problem blev stødt på af Ecava, som lancerede det første ICS Bug Bounty-program i 2013 [ 15] [16] . Hun blev kritiseret for at tilbyde kredit i sin butik i stedet for rigtige penge, hvilket ikke vakte begejstring blandt forskere [17] . Ifølge Ecava var programmet fra starten beregnet til at være begrænset og fokuseret på sikkerheden for brugere af deres IntegraXor SCADA- produkt [15] [16] .

Bemærkelsesværdige programmer

I oktober 2013 annoncerede Google en væsentlig ændring af sit bug bounty-program. Tidligere omfattede Bug Bounty-programmet mange Google-produkter. Programmet er dog blevet udvidet til at omfatte en række gratis højrisiko- applikationer og biblioteker , primært dem, der er designet til netværk eller lav-niveau operativsystemfunktionalitet. Rapporter, der overholder Googles retningslinjer, kan belønnes fra $500 til $3133,70. [18] [19]

Tilsvarende gik Microsoft og Facebook sammen i november 2013 for at sponsorere The Internet Bug Bounty, som tilbyder en dusør for rapportering af sårbarheder og udnyttelser til en bred vifte af internetrelateret software. [20] I 2017 blev dette program sponsoreret af GitHub og Ford Foundation ; det drives af frivillige fra Uber, Microsoft, Facebook, Adobe og HackerOne. [21] Det inkluderer produkter som Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , nginx , Apache HTTP Server og Phabricator . Derudover tilbød programmet en pris for at identificere bredere sårbarheder, der påvirker udbredte operativsystemer og webbrowsere såvel som internettet generelt. [22]

I marts 2016 annoncerede Peter Cook den amerikanske føderale regerings første Bug Bounty-program, Hack the Pentagon . [23] Programmet løb fra 18. april til 12. maj, og over 1.400 mennesker indsendte 138 unikke rapporter gennem HackerOne. I alt betalte det amerikanske forsvarsministerium $71.200. [24] I juni mødtes forsvarsminister Ash Carter med to deltagere, David Dworken og Craig Arend, for at takke dem for deres deltagelse i programmet. [25]

Open Bug Bounty  er et kollektivt bug-bounty-program, der blev lanceret i 2014, og som giver dig mulighed for at rapportere sårbarheder på websteder og webapplikationer i håb om at blive belønnet af deres ejere.

Den 8. december 2020 lancerede det kasakhstanske selskab for levering af cybersikkerhedstjenester ULE "Center for Analyse og Undersøgelse af Cyber ​​​​Attacks" den nationale platform til identifikation af sårbarheder BugBounty.kz . Ud over private virksomheder var informationssystemer og ressourcer fra statslige organer også forbundet til platformen. Fra lanceringen af ​​platformen til den 28. oktober 2021 er der modtaget 1.039 sårbarhedsrapporter. Under driften af ​​platformen blev der identificeret sårbarheder, der førte til lækage af personlige data fra kritiske informations- og kommunikationsinfrastrukturfaciliteter og aflytning af kontrol over livsunderstøttende systemer i en hel by.

I 2021 annoncerede og lancerede Cyberpolygon LLC platformen BugBounty.ru , den første platform i Den Russiske Føderation til at søge efter sårbarheder og interaktion mellem fejljægere og ressourceejere. Siden lanceringen af ​​programmet er flere hundrede sårbarheder blevet identificeret, lige fra små til superkritiske.

I 2022 introducerede Positive Technologies [26] [27] sin platform The Standoff 365 Bug Bounty . For første gang kan sikkerhedsforskere på det blive belønnet ikke kun for at opdage sårbarheder, men også for at implementere forretningsrisici. På to måneder har mere end 900 sikkerhedsforskere registreret sig på platformen.

Se også

Noter

  1. Facebook-sikkerhed. Facebook White Hat . Facebook (26. april 2014). Hentet 11. marts 2014. Arkiveret fra originalen 29. januar 2021.
  2. Yahoo! Bug Bounty Program . HackerOne . Hentet 11. marts 2014. Arkiveret fra originalen 26. februar 2018.
  3. "Belønningsprogram for sårbarhedsvurdering" . Hentet 23. november 2016. Arkiveret fra originalen 11. marts 2014.
  4. "Reddit - hvidhat" . Hentet 23. november 2016. Arkiveret fra originalen 12. april 2018.
  5. "Microsoft Bounty Programs" Arkiveret 21. november 2013.
  6. "Netscape annoncerer Netscape Bugs Bounty med udgivelse af nestscape navigator 2.0"
  7. "Cobalt Application Security Platform" . Hentet 23. november 2016. Arkiveret fra originalen 9. oktober 2016.
  8. CenturyLink CenturyLinkVoice: Hvorfor virksomheder kan lide Pinterest kører Bug Bounty-programmer gennem skyen . Hentet 30. juli 2016. Arkiveret fra originalen 12. april 2018.
  9. "Hacker sender Facebook-fejlrapport på Zuckerbergs væg" . Hentet 23. november 2016. Arkiveret fra originalen 11. marts 2016.
  10. Whitehat, Facebook Facebook Whitehat Debetkort . CNET. Hentet 2. februar 2020. Arkiveret fra originalen 2. februar 2020.
  11. Fejljægere er dygtige, men respekten er knap for hackere med hvid hat i Indien . Factor Daily (8. februar 2018). Hentet 4. juni 2018. Arkiveret fra originalen 22. oktober 2019.
  12. T-shirt Gate, Yahoo! Yahoo! T-shirt krave . ZDNet . Hentet 2. februar 2020. Arkiveret fra originalen 28. september 2014.
  13. Bug Bounty, Yahoo! Så jeg er ham, der sendte t-shirten ud som tak . Ramses Martinez. Hentet 2. oktober 2013. Arkiveret fra originalen 12. november 2020.
  14. BugBounty Program, Yahoo! Yahoo! lancerede sit Bug Bounty Program . Ramses Martinez. Hentet 31. oktober 2013. Arkiveret fra originalen 2. februar 2020.
  15. 12 Michael Toecker . Mere om IntegraXor's Bug Bounty Program . Digital Bond (23. juli 2013). Hentet 21. maj 2019. Arkiveret fra originalen 27. maj 2019.
  16. 12 Steve Ragan . SCADA-leverandøren står over for offentlig tilbageslag over bug-bounty-programmet . CSO (18. juli 2013). Hentet 21. maj 2019. Arkiveret fra originalen 27. juli 2020.
  17. Fahmida Y. Rashi. SCADA-leverandør basket over "patetisk" bug-bounty-program . Sikkerhedsugen (16. juli 2013). Hentet 21. maj 2019. Arkiveret fra originalen 1. oktober 2019.
  18. Godt, Dan Google tilbyder "leet" pengepræmier for opdateringer til Linux og anden OS-software . Ars Technica (9. oktober 2013). Hentet 11. marts 2014. Arkiveret fra originalen 12. marts 2016.
  19. Zalewski, Michal Går ud over sårbarhedsbelønninger . Google Online Security Blog (9. oktober 2013). Hentet 11. marts 2014. Arkiveret fra originalen 22. september 2015.
  20. Goodin, Dan Nu er der et bug bounty-program til hele internettet . Ars Technica (6. november 2013). Hentet 11. marts 2014. Arkiveret fra originalen 11. marts 2016.
  21. Facebook, GitHub og Ford Foundation donerer $300.000 til bug bounty-program til internetinfrastruktur . Venture Beat (21. juli 2017). Hentet 4. juni 2018. Arkiveret fra originalen 2. februar 2020.
  22. "The Internet Bug Bounty" . Hentet 23. november 2016. Arkiveret fra originalen 12. marts 2014.
  23. "DoD Invites Vetted Specialists to 'Hack' the Pentagon" (downlink) . Hentet 23. november 2016. Arkiveret fra originalen 13. marts 2016. 
  24. "Vulnerability disclosure for Hack the Pentagon" Arkiveret 11. april 2016 på Wayback Machine .
  25. "18-årig hacker hædret i Pentagon" . Hentet 23. november 2016. Arkiveret fra originalen 12. april 2018.
  26. Positive teknologier  // Wikipedia. — 24-07-2022.
  27. Valeria Bunina . Positive Technologies hyrede hundredvis af hackere til at beskytte russiske virksomheder , gazeta.ru  (19. maj 2022). Arkiveret fra originalen den 25. juli 2022. Hentet 25. juli 2022.

Links