Videó: Тайна о bug bounty (November 2024)
Tegyük fel, hogy globális jelenléttel rendelkező szoftverkiadó vagy. Az egyik termékben található biztonsági lyuk, amely lehetővé teszi a rossz fiúk számára, hogy magáninformációkat lopjanak el, vagy az áldozatok PC-jét távirányítsák, messzemenő következményekkel járhat. Ha valaki felismert egy ilyen lyukat, sokkal inkább azt szeretné, ha elmondják neked róla, mint hogy eladják az információkat a kiberbűnözés fekete piacán, igaz? A "Bug bounty" programok célja, hogy ösztönözzék az ilyen megosztást azáltal, hogy jutalmazzák azokat, akik felfedezik a biztonsági lyukakat, készpénzzel, hírnévvel vagy mindkettővel, és ők gyakrabbak, mint gondolnád.
Bounties bőven van
A Yahoo bug bounty programja a hét elején tett híreket. A programot vizsgáló svájci kutatók egy csoportja három súlyos, webhelyek közötti, szkriptekkel kapcsolatos hibát keresett a Yahoo webhelyein - biztonsági réseket, amelyek lehetővé teszik a támadó számára, hogy átvegye az áldozatok Yahoo e-mail fiókját. (Ezeknek a hibáknak a megtalálása körülbelül egy napig tartott - félelmetes!). A jelentés ellenőrzése után a Yahoo 12, 50 dollárt ajánlott fel minden hibáért, amelyeket szajhával visszaválthattak a vállalati áruházban.
Ez a jutalom soknak csillogónak tűnt. A jelentés visszaesése elég jelentős volt ahhoz, hogy a Yahoo bejelentette a változást, és már dolgoztak rajta. Az új bug bounty program olyan kutatókat jutalmaz majd, akik ellenőrzött hibát készpénzzel, nem szvinnal jelentenek, 150–15 000 USD összegben, a pontos összeget egy világos, előre meghatározott képlet határozza meg. Az új programnak ennek a hónapnak a végére kell készülnie, de július 1-ig visszamenőleg.
Gondolod, hogy találtál egy biztonsági lyukat, amely érdemes lehet valamit? A bugcrowd webhely felsorolja az összes jelenlegi bug bounty programot, elválasztva azokat azoktól, amelyek jutalmat, hírnevet és fülbemászást kínálnak, csak hírnevet nyújtanak, vagy nincs jutalom. Kattintson egy adott termék vagy szolgáltatás linkjére a jelentési oldal megtekintéséhez.
Például a Facebook minimális halajánlatot kínál 500 dollárral, előre beállított maximum nélkül. Augusztus óta a Facebook több mint egymillió dollárt fizetett ki ilyen összegekben.
A Google által az ellenőrzött hibákért folyósított kifizetések egy jól meghatározott értéktáblázatot követnek. Ezek a 100 dollártól az alacsony prioritású Google webhelyen jelentkező általános webhiánytól a 20 000 dollárig terjednek a távoli kódfuttatást lehetővé tevő biztonsági résért egy nagyon érzékeny szolgáltatásban. A „leet-speak” bólintással egyes típusok 1337 dollár jutalommal járnak.
A Microsoft más
A Microsoft kutatóknak 100 000 dollárt vagy még ennél is többet kínál a biztonságot javító munkához, de kiderül, hogy a Microsoft programja nem pontosan hibajavító. Katie Moussouris, a Microsoft Trustworthy Computing vezető biztonsági stratégiájának vezetője magyarázta a különbséget.
"A Microsoft 100 000 dolláros enyhítő bypass Bounty-ja megköveteli a résztvevőktől, hogy valóban újszerű kiaknázási technikákat nyújtsanak be a legújabb Windows platformonk ellen" - mondta Moussouris -, hogy javítsuk platformszintű védelmeinket. Az új hasznosítási technikákat nehezebb megtalálni, mint az egyes sebezhetőségeket és a ezek elősegítik az ügyfelek védelmét a támadások teljes osztálya ellen a biztonság fokozása révén, ugrásszerűen, ahelyett, hogy egyszerre egyetlen biztonsági rést kezelnének. " Záró következtetése: "Arra ösztönözzük a kutatókat, hogy olvassa el a nagylelkűség programjaink irányelveit a www.microsoft.com/bountyprograms weboldalon, és küldjék meg beadványaikat a [email protected] címre."
Az a kutató, aki nem csak egy új kizsákmányolási technikáról számol be, hanem védekezésre irányuló ötleteket is kínál, további 50 000 dolláros BlueHat bónuszt kaphat. És ne felejtse el, hogy 2012-ben a Microsoft több mint negyedmillió összeget fizetett ki a BlueHat-díj versenyének nyerteseire.
Nagyon sok tapasztalat és egy zseniális gördülés szükséges ahhoz, hogy a Microsoft jutalmat megkapja. A biztonság gyakran macska és egér játék, a bűnözők új támadásokat dolgoznak ki, a védők pedig új számlálókkal reagálnak ezekre a támadásokra. Az új kizsákmányolási technikákkal (és a velük szembeni védekezéskel) történő előkészítés előtt a rossz fiúk vezetik a védelmet. Windows felhasználóként üdvözlöm a címzetteket. Köszi srácok!
