Każde oprogramowanie ma błędy lub wady, które powodują problemy. Obejmują one zarówno banalne problemy, które nie wpływają w żaden znaczący sposób na wydajność oprogramowania, jak i poważne luki w zabezpieczeniach.
Błędy mogą być trudne do wykrycia, dlatego wiele firm technologicznych ma programy nagród za błędy. Ale czym dokładnie są programy bug bounty? Jak działają i jak pomagają poprawić bezpieczeństwo produktu?
Jak działają programy Bug Bounty
Firmy uruchamiają programy nagród za błędy, aby zachęcić hakerów w białych kapeluszach szukać luk w zabezpieczeniach i podobnych luk w oprogramowaniu. Zwykle jest więcej niż przyzwoita nagroda pieniężna dla tych, którzy odkryją błąd, bez względu na to, jak nieistotny może się on wydawać przeciętnemu człowiekowi.
I nie tylko małe, dobrze zapowiadające się firmy mają programy nagród za błędy. W rzeczywistości obsługuje je większość gigantów technologicznych, w tym Google, Microsoft, Facebook i Apple. Szczegółowe informacje na temat tych programów można zwykle znaleźć na oficjalnej stronie internetowej firmy. Najczęściej istnieje kilka poziomów lub kategorii. Ale w zasadzie im bardziej znaczący błąd, tym wyższa nagroda.
Gdy haker w białym kapeluszu odkryje błąd, przesyła szczegółowy raport wyjaśniający, co znalazł. Następnie inżynierowie firmy przeglądają i badają zgłoszenie, a jeśli ustalenia badacza okażą się dokładne i przydatne, zostaną o tym powiadomieni i otrzymają nagrodę pieniężną.
Ten system działa zarówno dla firm, jak i niezależnych badaczy. Z punktu widzenia każdej firmy lepiej, żeby etyczny haker odkrył błąd, niż cyberprzestępca, który najprawdopodobniej poszedłby do wykorzystaj to, zanim zostanie załatane, potencjalnie powodując milionowe szkody. Z drugiej strony hakerzy dokonują niezłych zmian, uczestnicząc w programach nagród za błędy — niektórzy nawet zarabiają w pełnym wymiarze godzin, odkrywając luki w oprogramowaniu.
Przykłady programów Bug Bounty poprawiających bezpieczeństwo oprogramowania
Dobrze jest wiedzieć, jak programy bug bounty działają w teorii, ale spójrzmy na kilka rzeczywistych przykładów firm wypłacających ogromne sumy hakerom w białych kapeluszach.
We współpracy z platformą bug bounty Immunefi, zdecentralizowaną platformą mostu blockchain Wormhole uruchomiła w lutym 2022 r. program nagród oferujący 10 milionów dolarów każdemu, kto odkryje krytyczne zabezpieczenie błąd. Wkrótce jeden z nich odkrył haker w białym kapeluszu, używający pseudonimu satya0x. Jak wyjaśnił Immunefi w a Średni post, błąd mógł doprowadzić do zablokowania funduszy użytkownika, więc satya0x otrzymał 10 milionów dolarów za ujawnienie go.
Również w lutym 2022 giełda kryptowalut Baza monet wypłacił nagrodę za błąd w wysokości 250 000 USD niezależnemu badaczowi za odkrycie poważnej luki w interfejsie handlowym platformy.
Laboratoria Aurory, firma stojąca za maszyną wirtualną Aurora Ethereum (ETH), wypłaciła ogromną nagrodę w wysokości 6 milionów dolarów w kwietniu 2022 r. Pieniądze zostały przyznane etycznemu hakerowi znanemu jako pwning.eth po tym, jak odkrył lukę w zabezpieczeniach pozwoliłoby cyberprzestępcom wybić nieskończoną ilość kryptowaluty Ethereum w Aurorze silnik.
Kanadyjski gigant e-commerce Shopify, w międzyczasie, pobił swój własny rekord w 2021 roku, kiedy wypłaty nagród wyniosły 1 milion dolarów. W tym roku firma otrzymała łącznie 3000 raportów o błędach od hakerów z białymi kapeluszami z całego świata. W odpowiedzi Shopify podniósł maksymalną nagrodę bounty do 100 000 USD.
Liczby te mogą wydawać się absurdalnie wysokie, ale tak naprawdę nie są one porównywalne z ilością pieniędzy i danych, które cyberprzestępcy mogliby zarobić, odkrywając luki w zabezpieczeniach. Wormhole wyznaczył nagrodę za błąd w wysokości 10 milionów dolarów po tym, jak stracił 320 milionów dolarów z powodu naruszenia. Aurora Labs nagrodziła hakera w białym kapeluszu, ponieważ 6 milionów dolarów blednie w porównaniu do straconych 240 milionów dolarów wartości ETH, podczas gdy Coinbase i Shopify prawdopodobnie zaoszczędziły dziesiątki milionów, rekompensując staranność badacze.
5 najlepiej płatnych programów Bug Bounty
Ponieważ firmy faktycznie oszczędzają mnóstwo pieniędzy, ustanawiając nagradzające programy nagród za błędy, istnieje szereg opcji, z których mogą wybierać badacze. Jeśli jesteś hakerem w białym kapeluszu lub chciałbyś nim zostać, oto pięć dobrze płatnych programów nagród za błędy, które warto rozważyć.
Apple Security Bounty to jeden z najpopularniejszych programów bug bounty na świecie. Nagrody wahają się od 5000 USD za odkrycie luk w ekranie blokady do 2 milionów USD za luki w zabezpieczeniach, które umożliwiłyby cyberprzestępcom obejście Zabezpieczenia trybu blokady. Wszystko, co musisz zrobić, aby przesłać raport o błędzie (który musi być dokładny i szczegółowy), to zalogować się przy użyciu swojego Apple ID.
Inny popularny program bug bounty jest prowadzony przez firmę Microsoft, która oferuje szeroki wachlarz nagród. Podobnie jak Apple, program Microsoftu jest podzielony na dziesiątki różnych kategorii. Na przykład, jeśli odkryjesz lukę w Microsoft. NET Framework, możesz spodziewać się płatności w wysokości do 15 000 USD. Ale jeśli odkryjesz jeden w Microsoft Hyper-V, możesz otrzymać nagrodę w wysokości do 250 000 $.
Program Samsung Rewards skupia się na produktach mobilnych firmy. Ma stosunkowo surowe zasady, więc przeczytaj je uważnie przed zgłoszeniem błędu. Należy również pamiętać, że inżynierowie firmy biorą pod uwagę tylko błędy, które mają wpływ na bezpieczeństwo urządzeń Samsung. Nagrody wahają się od 200 do 200 000 USD.
W programie nagród Google Bug Hunters nagrody sięgają nawet 30 000 USD. Łowcy błędów, jak często nazywani są hakerzy w białych kapeluszach, mogą zgłaszać błędy w Gmailu, YouTube, BlogSpot i innych usługach Google. Ten program ma bardzo aktywną społeczność i własny uniwersytet online, który może być doskonałym źródłem informacji dla początkujących badaczy.
Program nagród Meta obejmuje Facebooka, Instagram, WhatsApp, Messenger i mnóstwo innych produktów. Aby zostać uznanym za nagrodę (minimalna kwota to 500 USD), musisz znaleźć luki w zabezpieczeniach, które stanowią zagrożenie dla bezpieczeństwa lub prywatności oraz spełnić jasno określone wymagania. Wszystkie ważne zgłoszenia otrzymują odpowiedź. Jeśli wielu łowców zauważy ten sam problem, nagroda jest przyznawana pierwszej osobie, która prześle zgłoszenie.
Programy Bug Bounty: najlepsze zabezpieczenia oparte na crowdsourcingu
Programy Bug Bounty reprezentują najlepsze zabezpieczenia pozyskiwane w ramach crowdsourcingu. Korzystają z nich nie tylko firmy technologiczne i badacze cyberbezpieczeństwa — wszyscy, w tym konsumenci.
Dla niektórych polowanie na robaki to hobby, a dla innych pełnoprawna kariera. Jeśli zaliczasz się do tej drugiej kategorii lub do niej aspirujesz, istnieje wiele kursów online, którym warto się przyjrzeć.
