Videó: Facebook Hackathon (November 2024)
Mit kapsz, ha néhány hackert egy szobába tesz, és megadja nekik a célzott webhelyek listáját? Ők vadászatot folytatnak!
Ez történt a Bug Bash 2013-ban, egy "internetes széles körű hack-a-thon" -on, amelyet Bugcrowd vezet a New York-i AppSec USA konferencián ezen a héten. Körülbelül 80 ember vett részt három este folyamán, és "több száz" vett részt távolról az interneten keresztül - mondta Casey John Ellis, a Bugcrowd alapítója és vezérigazgatója. A résztvevők beküldték az azonosított hibákat a Bugcrowd-nak, és a csoport a probléma megerősítéséhez megismételte a hibához vezető feltételeket.
A célok listáján olyan cégek szerepeltek, mint a Facebook, a Google, az Etsy, a Prezi és a Yandex. A résztvevő biztonsági tesztelők több mint 220 hibát azonosítottak - mondta Ellis. A kérdések nagyrészt a globális, a malomforgalom kérdésével kapcsolatosak, ideértve néhány befecskendezési és bypass sebezhetőséget.
"Még nem hallottam semmilyen egzotikus sebezhetőségről, de még mindig elemezzük az adatainkat" - mondta Ellis.
A Bugcrowd a későbbiekben további részleteket kíván közzétenni a feltárt hibák típusáról és az eseményről. A San Francisco-i startup olyan programokat futtat, ahol emberek csoportjai működnek együtt, hogy hibákat keressenek a weboldalakon és az alkalmazásokban. Miután megerősíti, hogy a bejelentett hibák jogszerűek, kezeli a megfelelő gyártók értesítésének folyamatát.
Bug Bounties
A hibahiányos programok egyre népszerűbbek, mivel a vállalatok arra ösztönzik a kutatókat, hogy közvetlenül küldjék el a hibáról szóló jelentéseket, ahelyett, hogy azokat a kormánynak eladnák, vagy brókerek kiaknázására kínálnák. Ha nem értesíti a hibát az eladónak, akkor a vevő ezeket a biztonsági réseket saját céljaira használhatja, és a felhasználókat védelem nélkül hagyja a szoftverhibától.
A Mozilla és a Google valószínűleg a legismertebb bug bounty programokat használja, de sok más vállalat most kínál valamilyen programot (itt egy hosszú, de nem teljes lista található). A Facebook augusztusban bejelentette, hogy egymillió dollár összeget fizetett ki az elmúlt két évben.
Nem minden hiba felel meg ezeknek a programoknak. Például a Facebook világossá teszi, hogy programjuk csak olyan kérdésekre terjed ki, amelyek "veszélyeztethetik a Facebook felhasználói adatainak integritását, megkerülhetik a Facebook felhasználói adatok adatvédelmi védelmét, vagy lehetővé teszik a rendszerhez való hozzáférést a Facebook infrastruktúrán belül". A Microsoft a közelmúltban sorozatot hozott ki díjakkal, és nagyon specifikus volt a keresett témák vonatkozásában.
Bug Bash 2013
Nehéz megbecsülni ezen a ponton, hogy a Bug Bash részeként feltárt hibák mennyit érnek összesen, mivel a bug bounty programok annyira különböznek egymástól, hogy mennyit fizetnek. Egyes programok több száz dollárt fizetnek, mások több ezer dollárt fizetnek. Fontos megjegyezni, hogy minden vállalatnak külön szabályai vannak arra vonatkozóan, hogy mit ismernek el hibának, és hogy milyen típusú kérdésekre vonatkozik a bug bounty program.
Annak ellenére, hogy 220 hibát nyújtottak be, az eladónak kell eldöntenie, hogy a problémák kifizetésre jogosultak-e. És még akkor is, ha kifizetésre kerül sor, az eladónak kell döntenie az összegről. Ugyanakkor, még ha a 200+ hiba mindegyike is csak néhány száz dollárt ér, az nem rossz három órán át tartó néhány órás munka során.
A Facebook képviselői már a kezükben voltak az események során, hogy betekintést nyújtsanak a hibaelhárító programokba, és válaszolhassanak a résztvevők kérdéseire.
Tom Brennan, az OWASP Alapítvány igazgatósági tagja és az AppSec USA egyik szervezője, akik edzésen jártak, és különböző technikákat tanultak, megálltak azért, hogy részt vegyenek a csoportos csapkodásban. Az emberek együtt dolgoztak a célok kitűzésekor és egymás segítségét kérték. A hibák felkutatása nem automatizált folyamat, mivel valóban megköveteli az emberektől, hogy gondolkozzanak az általuk látott kérdésekre, és alkalmazkodjanak technikáikhoz. Egy olyan együttműködési környezet, amelyben az emberek ötletektől el tudják szökni, "nagyon hatékony" lehet a hibakeresés szempontjából - mondta Brennan.
