Программа Bug Bounty - Bug bounty program

А программа вознаграждения за ошибки это сделка, предлагаемая многими веб-сайтами, организациями и разработчиками программного обеспечения, благодаря которой отдельные лица могут получить признание и компенсацию[1] для отчетности ошибки, особенно те, которые касаются безопасности подвиги и уязвимости.

Эти программы позволяют разработчикам обнаруживать и устранять ошибки до того, как о них узнает широкая публика, предотвращая случаи широко распространенного злоупотребления. Программы Bug Bounty были реализованы большим количеством организаций, в том числе Mozilla,[2][3] Facebook,[4] Yahoo!,[5] Google,[6] Reddit,[7] Квадрат,[8] Microsoft,[9][10] и награда за ошибки в Интернете.[11]

Компании, не относящиеся к технологической отрасли, включая традиционно консервативные организации, такие как Министерство обороны США, начали использовать программы по выявлению ошибок.[12] Использование Пентагоном программ по выявлению ошибок является частью изменения позиции, в результате которого несколько правительственных агентств США повернули вспять, отказавшись от угроз. белая шляпа хакеры, которые могут обратиться в суд и пригласить их к участию в рамках всеобъемлющей структуры или политики раскрытия уязвимостей.[13]

История

Хантер и Риди инициировали первую известную программу вознаграждения за ошибки в 1983 году для своих Универсальный руководитель в реальном времени Операционная система. Любой, кто обнаружит и сообщит об ошибке, получит взамен Volkswagen Beetle (также известный как «Ошибка»).[14]

Чуть более десяти лет спустя, в 1995 году, Джарретт Ридлингхафер, инженер технической поддержки в Netscape Communications Corporation придумал фразу «Bugs Bounty».

Netscape поощряла своих сотрудников стараться и делать все возможное для выполнения работы. Ридлингхафер признал, что у Netscape было много энтузиастов и проповедников продукта, некоторых из которых можно было даже считать фанатиками браузеров Netscape. Он начал исследовать это явление более подробно и обнаружил, что многие энтузиасты Netscape на самом деле были разработчиками программного обеспечения, которые самостоятельно исправляли ошибки продукта и публиковали исправления или обходные пути либо на новостных форумах в Интернете, которые были созданы службой технической поддержки Netscape. отдел, или на неофициальном веб-сайте «Netscape U-FAQ», где перечислены все известные ошибки и функции браузера, а также инструкции по обходным путям и исправлениям.

Ридлингхафер подумал, что компания должна использовать эти ресурсы, и предложил «Программу вознаграждений за ошибки Netscape», которую он представил своему менеджеру, который, в свою очередь, предложил Ридлингхаферу представить ее на следующем собрании руководства компании. На очередном собрании руководящего состава, на котором присутствовали Джеймс Барксдейл, Марк Андриссен и вице-президентами каждого отдела, включая разработку продукта, каждому участнику была предоставлена ​​копия предложения «Программа вознаграждений за ошибки Netscape», и Ридлингхафер был приглашен представить свою идею исполнительной команде Netscape. Все участники встречи поддержали эту идею, кроме вице-президента по инжинирингу, который не хотел, чтобы она продолжалась, считая ее пустой тратой времени и ресурсов. Однако вице-президент по проектированию был отклонен, и Ридлингхаферу дали начальный бюджет в 50 тысяч долларов для работы с предложением.

10 октября 1995 года Netscape запустила первую программу поощрения технологических ошибок для браузера Netscape Navigator 2.0 Beta.[15][16]

Противоречие с политикой раскрытия уязвимостей

В августе 2013 г. Палестинский Студент, изучающий информатику, сообщил об уязвимости, которая позволила любому опубликовать видео в произвольной учетной записи Facebook. Согласно электронному письму между студентом и Facebook, он попытался сообщить об уязвимости с помощью программы bug bounty от Facebook, но инженеры Facebook неправильно поняли студента. Позже он воспользовался уязвимостью, используя профиль Facebook Марк Цукерберг, в результате чего Facebook отказал ему в выплате награды.[17]

Дебетовая карта Facebook «White Hat», выдается исследователям, сообщающим об ошибках безопасности.

Facebook начали платить исследователям, которые находят и сообщают об ошибках безопасности, выдавая им дебетовые карты с фирменной маркой «White Hat», на которые можно пополнять денежные средства каждый раз, когда исследователи обнаруживают новые недостатки. «Исследователи, которые находят ошибки и улучшения безопасности, редки, мы ценим их и должны найти способы вознаградить их», - сказал Райан МакГихан, бывший менеджер группы реагирования на безопасность Facebook. CNET в интервью. «Наличие этой эксклюзивной черной карты - еще один способ узнать их. Они могут прийти на конференцию, показать эту карточку и сказать: «Я сделал особую работу для Facebook».[18] В 2014 году Facebook прекратил выпускать исследователям дебетовые карты.

В 2016 г. Убер произошел инцидент безопасности, когда человек получил доступ к личной информации 57 миллионов пользователей Uber по всему миру. Человек якобы потребовал выкуп в размере 100 000 долларов, чтобы уничтожить данные пользователей. В показаниях Конгресса Uber CISO указал, что компания подтвердила, что данные были уничтожены, прежде чем заплатить 100 000 долларов.[19] Г-н Флинн выразил сожаление по поводу того, что Uber не раскрыл информацию об инциденте в 2016 году. В рамках своей реакции на этот инцидент Uber работал с партнером HackerOne над обновлением своей политики программы вознаграждения за ошибки, чтобы, среди прочего, более подробно объяснить добросовестное исследование уязвимостей и раскрытие.[20]

Yahoo! подверглась резкой критике за рассылку Yahoo! Футболки в качестве награды исследователям безопасности за обнаружение уязвимостей системы безопасности в Yahoo !, а также за сообщение о них, вызвав то, что стали называть Футболка-калитка.[21] Мост высоких технологий, компания по тестированию безопасности, базирующаяся в Женеве, Швейцария, выпустила пресс-релиз, в котором говорится, что Yahoo! предлагал кредит в размере 12,50 долларов на каждую уязвимость, который можно было использовать в отношении товаров марки Yahoo, таких как футболки, чашки и ручки из ее магазина. Рамзес Мартинес, директор службы безопасности Yahoo, заявил позже в своем блоге[22] что он стоял за программой вознаграждения ваучерами и что он в основном оплачивал их из своего кармана. В конце концов Yahoo! 31 октября того же года запустила новую программу вознаграждений за ошибки, которая позволяет исследователям безопасности сообщать об ошибках и получать вознаграждение от 250 до 15 000 долларов в зависимости от серьезности обнаруженной ошибки.[23]

Точно так же, когда Ecava выпустила первую известную программу вознаграждения за ошибки для ICS в 2013,[24][25] их критиковали за то, что они предлагали магазинные кредиты вместо наличных, что не стимулирует исследователей безопасности.[26] Экава объяснил, что программа изначально должна была носить ограничительный характер и сосредоточена на обеспечении безопасности человека для пользователей IntegraXor SCADA, их программное обеспечение ICS.[24][25]

География

Хотя заявки на вознаграждение за ошибки поступают из многих стран, некоторые страны, как правило, отправляют больше сообщений об ошибках и получают больше вознаграждений. В Соединенные Штаты и Индия страны, в которых исследователи чаще всего сообщают об ошибках.[27] Индия, которая занимает первое или второе место в мире по количеству охотников за ошибками, в зависимости от того, какой отчет цитируется,[28] возглавил программу Facebook Bug Bounty Program по наибольшему количеству допустимых ошибок.[29] «Индия вышла на первое место по количеству действительных заявок в 2017 году, при этом Соединенные Штаты и Тринидад и Тобаго заняли второе и третье места соответственно», - цитирует сообщение Facebook.[30]

Известные программы

В октябре 2013 г. Google объявила о серьезных изменениях в своей программе вознаграждения за уязвимости. Раньше это была программа вознаграждения за ошибки, охватывающая многие Google товары. Однако со сдвигом программа была расширена за счет включения в нее группы высокого риска. бесплатно программное обеспечение приложения и библиотеки, в первую очередь те, которые предназначены для сеть или для низкого уровня Операционная система функциональность. Заявки, которые Google сочли соответствующими рекомендациям, будут иметь право на вознаграждение в размере от 500 до 3133,70 долларов США.[31][32] В 2017 году Google расширил свою программу, включив в нее уязвимости, обнаруженные в приложениях, разработанных третьими сторонами и доступных через Google Play Store.[33] Программа Google Vulnerability Rewards теперь включает уязвимости, обнаруженные в продуктах Google, Google Cloud, Android и Chrome, а вознаграждение составляет до 31 337 долларов.[34]

Microsoft и Facebook В ноябре 2013 года стала партнером для спонсора The Internet Bug Bounty, программы, предлагающей вознаграждения за сообщения о взломах и эксплойтах для широкого спектра программного обеспечения, связанного с Интернетом.[35] В 2017 г. GitHub и Фонд Форда выступил спонсором инициативы, которой руководят добровольцы, в том числе из Uber, Microsoft, Facebook, Adobe, HackerOne, GitHub, NCC Group и Signal Sciences.[36] Программное обеспечение, покрываемое IBB, включает Adobe Flash, Python, Рубин, PHP, Джанго, Рубин на рельсах, Perl, OpenSSL, Nginx, HTTP-сервер Apache, и Фабрикатор. Кроме того, программа предлагала вознаграждения за более широкие эксплойты, затрагивающие широко используемые операционные системы и веб-браузеры, а также Интернет в целом.[37]

В марте 2016 г. Питер Кук объявил о первой программе поощрения ошибок федерального правительства США, программе «Взломайте Пентагон».[38] Программа проходила с 18 апреля по 12 мая, и более 1400 человек представили 138 уникальных достоверных отчетов через HackerOne. Всего США Министерство обороны выплатили 71 200 долларов.[39]

В 2019 году Европейская комиссия объявила об инициативе EU-FOSSA 2 bug bounty для популярных Открытый исходный код проекты, в том числе Drupal, Apache Tomcat, VLC, 7-молния и KeePass. Проект осуществлялся при содействии европейской платформы для выявления ошибок Intigriti и HackerOne, и в результате было обнаружено 195 уникальных и действительных уязвимостей.[40]

Открыть Bug Bounty - это программа поощрения ошибок безопасности, созданная в 2014 году, которая позволяет людям публиковать уязвимости безопасности веб-сайтов и веб-приложений в надежде на вознаграждение от операторов уязвимых веб-сайтов.

Смотрите также

Рекомендации

  1. ^ "Отчет о безопасности, созданной хакерами - Кто такие хакеры и почему они взламывают стр. 23" (PDF). HackerOne. 2017 г.. Получено 5 июн 2018.
  2. ^ «Программа поощрения ошибок Mozilla Security». Mozilla. Получено 2017-07-09.
  3. ^ Ковач, Эдуард (12 мая 2017 г.). «Mozilla обновляет программу вознаграждений за ошибки». SecurityWeek. Получено 2017-08-03.
  4. ^ Безопасность Facebook (26 апреля 2014 г.). "Facebook WhiteHat". Facebook. Получено 11 марта 2014.
  5. ^ "Yahoo! Bug Bounty Program". HackerOne. Получено 11 марта 2014.
  6. ^ «Программа вознаграждения за оценку уязвимости». Получено 11 марта 2014.
  7. ^ "Reddit - whitehat". Reddit. Получено 30 мая 2015.
  8. ^ "Программа вознаграждения за квадратные ошибки". HackerOne. Получено 6 августа 2014.
  9. ^ «Баунти-программы Microsoft». Баунти-программы Microsoft. Техцентр безопасности. Архивировано из оригинал 21 ноября 2013 г.. Получено 2016-09-02.
  10. ^ Циммерман, Стивен (26.07.2017). «Microsoft объявляет о программе вознаграждений за ошибки в Windows и расширении программы вознаграждений за Hyper-V». Разработчики XDA. Получено 2017-08-03.
  11. ^ HackerOne. «Bug Bounties - программы Bug Bounty с открытым исходным кодом». Получено 23 марта 2020.
  12. ^ «Пентагон открылся для хакеров и исправил тысячи ошибок». Проводной. 10 ноября 2017 г.. Получено 25 мая 2018.
  13. ^ «Структура программы раскрытия уязвимостей для онлайн-систем». Подразделение кибербезопасности, Отдел компьютерных преступлений и интеллектуальной собственности Уголовное управление Министерства юстиции США. Июль 2017 г.. Получено 25 мая 2018.
  14. ^ «Первая» ошибка «баунти программы». Twitter. 8 июля 2017 г.. Получено 5 июн 2018.
  15. ^ "Netscape объявляет о выпуске Netscape Bugs Bounty выпуском netscape navigator 2.0". Интернет-архив. Архивировано из оригинал 1 мая 1997 г.. Получено 21 янв 2015.
  16. ^ «Платформа безопасности приложений Cobalt». Кобальт. Получено 2016-07-30.
  17. ^ «Страницу Цукерберга в Facebook взломали, чтобы доказать уязвимость». CNN. 20 августа 2013 г.. Получено 17 ноября 2019.
  18. ^ Уайтхэт, Facebook. «Дебетовая карта Facebook whitehat». CNET.
  19. ^ «Свидетельство Джона Флинна, директора по информационной безопасности, Uber Technologies, Inc.» (PDF). Сенат США. 6 февраля 2018 г.. Получено 4 июн 2018.
  20. ^ «Uber ужесточает политику вымогательства вознаграждений за ошибки». Сообщение с угрозами. 27 апреля 2018 г.. Получено 4 июн 2018.
  21. ^ Футболка Gate, Yahoo !. "Yahoo! Футболка ворот". ZDNet.
  22. ^ Bug Bounty, Yahoo !. "Так что я тот парень, который прислал футболку в знак благодарности". Рамзес Мартинес. Получено 2 октября 2013.
  23. ^ Программа BugBounty, Yahoo !. «Yahoo! запустила программу Bug Bounty». Рамзес Мартинес. Получено 31 октября 2013.
  24. ^ а б Тоекер, Майкл (23 июля 2013 г.). «Подробнее о программе вознаграждений за ошибки IntegraXor». Цифровая облигация. Получено 21 мая 2019.
  25. ^ а б Рэган, Стив (18 июля 2013 г.). «Поставщик SCADA сталкивается с общественной реакцией на программу вознаграждения за ошибки». ОГО. Получено 21 мая 2019.
  26. ^ Раши, Фахмида Ю. (16 июля 2013 г.). "Поставщик SCADA подвергся критике из-за" жалкой "программы вознаграждения за ошибки". Неделя безопасности. Получено 21 мая 2019.
  27. ^ «Отчет хакера за 2019 год» (PDF). HackerOne. Получено 23 марта 2020.
  28. ^ «Охотников за ошибками много, но хакеров в Индии мало уважают». Фактор Daily. 8 февраля 2018 г.. Получено 4 июн 2018.
  29. ^ «Основные моменты Facebook Bug Bounty 2017: исследователям выплачено 880 000 долларов». Facebook. 11 января 2018 г.. Получено 4 июн 2018.
  30. ^ «Основные моменты Facebook Bug Bounty 2017: исследователям выплачено 880 000 долларов». Facebook. 11 января 2018 г.. Получено 4 июн 2018.
  31. ^ Гудин, Дэн (9 октября 2013 г.). «Google предлагает« льготные »денежные призы за обновления Linux и другого программного обеспечения ОС». Ars Technica. Получено 11 марта 2014.
  32. ^ Залевски, Михал (9 октября 2013 г.). «Выходя за рамки вознаграждения за уязвимость». Блог Google Online Security. Получено 11 марта 2014.
  33. ^ «Google запустил новую программу вознаграждения за ошибки, чтобы искоренить уязвимости в сторонних приложениях в Google Play». Грань. 22 октября 2017 г.. Получено 4 июн 2018.
  34. ^ «Программа вознаграждения за оценку уязвимости». Получено 23 марта 2020.
  35. ^ Гудин, Дэн (6 ноября 2013 г.). «Теперь есть программа вознаграждения за ошибки для всего Интернета». Ars Technica. Получено 11 марта 2014.
  36. ^ «Facebook, GitHub и Фонд Форда пожертвуют 300 000 долларов на программу вознаграждения за ошибки в инфраструктуре Интернета». VentureBeat. 21 июля 2017 г.. Получено 4 июн 2018.
  37. ^ "Интернет-ошибка". HackerOne. Получено 11 марта 2014.
  38. ^ «Министерство обороны приглашает проверенных специалистов« взломать »Пентагон». ДЕПАРТАМЕНТ ОБОРОНЫ США. Получено 2016-06-21.
  39. ^ «Раскрытие уязвимости для Hack the Pentagon». HackerOne. Получено 2016-06-21.
  40. ^ «EU-FOSSA 2 - Краткое описание ошибок» (PDF).

внешняя ссылка