Interested Article - Bug Bounty

Программа Bug Bounty — это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок , особенно тех, которые касаются эксплойтов и уязвимостей . Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления. В частности, программы Bug Bounty были реализованы компаниями Facebook , Yahoo! , Google , Reddit , Square , Apple и Microsoft .

История

Изначально программа «Bug Bounty» была создана Джарреттом Ридлинхафером, когда он работал в Netscape Communications Corporation в качестве инженера технической поддержки. Корпорация поощряла своих сотрудников продвигаться по карьерной лестнице и делать все необходимое, чтобы работа была выполнена.

В начале 1996 года Джарретт Ридлинхафер придумал фразу и идею Bugs Bounty. Он осознавал, что в корпорации есть много энтузиастов и ИТ-евангелистов тех или иных продуктов, некоторые из которых ему даже казались фанатичными, особенно в отношении браузера Mosaic / Netscape / Mozilla . Он начал исследовать ситуацию более подробно и обнаружил, что большинство энтузиастов были на самом деле разработчиками программного обеспечения. Они исправляли ошибки продуктов самостоятельно и публиковали исправления или улучшения продуктов:

  • в новостных форумах, которые были созданы отделом технической поддержки компании Netscape для возможности «самопомощи через сотрудничество» (ещё одна из идей Ридлинхафера во время четырёхлетней работы в корпорации);
  • на неофициальном сайте «Netscape U-FAQ», где все известные ошибки и особенности браузера, а также инструкции относительно устранения ошибок и исправлений были включены в перечень.

Ридлинхафер посчитал, что компания должна использовать эти ресурсы, и написал предложение своему менеджеру о Netscape Bugs Bounty Program , а тот предложил Ридлинхаферу представить его на следующем исполнительном заседании компании.

На следующем исполнительном заседании, в котором приняли участие Джеймс Барксдейл, Марк Андриссен и вице-президенты всех отделов, включая разработку продукта, каждому члену была вручена копия предложения Netscape Bugs Bounty Program , и Ридлинхафер был приглашен представить свою идею топ-менеджменту Netscape.

Все присутствующие на собрании приняли идею, за исключением вице-президента инжиниринга , который не хотел двигаться вперед, считая это пустой тратой времени. Однако его мнение было отвергнуто, и Ридлинхаферу дали начальный бюджет 50 тыс. $, чтобы начать работу над своим предложением. Первая официальная программа Bugs Bounty была запущена в 1995 году.

Программа имела настолько крупный успех, что она упоминается во многих книгах об успехах корпорации Netscape [ источник не указан 383 дня ] .

Инциденты

В августе 2013 года студент факультета компьютерных наук по имени Халиль сообщил в Facebook об эксплойте , позволявшем любому пользователю разместить видео на чьём угодно аккаунте. Согласно его email-переписке, он пытался сообщить об уязвимости в рамках программы Bug Bounty Facebook, но сотрудники Facebook неверно его поняли. Позднее он сам воспользовался этим эксплойтом от лица главы Facebook Марка Цукерберга , поэтому ему отказали в вознаграждении.

Дебетовая карта Facebook для « белых шляп », которая даётся исследователям, сообщающим об ошибке безопасности

Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выдавая им особые дебетовые карты «White Hat», на которые начисляются деньги всякий раз, когда исследователи находят новые недостатки и ошибки. «Исследователи, которые находят ошибки и возможности по улучшению системы безопасности, редки, и мы их ценим и должны вознаграждать их», — рассказал в интервью CNET Райан Макгихен, бывший менеджер Facebook по безопасности. «Наличие этой эксклюзивной чёрной карты — это ещё один способ признать их заслуги. Они могут на конференции показать эту карточку и сказать: я делал особую работу для Facebook». В 2014 году Facebook прекратила выдачу дебетовых карт для исследователей.

Индия, которая занимает одно из первых мест в мире по количеству охотников на уязвимости, возглавляет программу Bug Bounty Facebook по количеству найденных ошибок.

Компания Yahoo! была подвергнута жёсткой критике за рассылку футболок в награду для исследователей в области безопасности за обнаружение и сообщение об уязвимостях в Yahoo. Это событие стали называть T-shirt-gate («футболка-гейт»). Компания по тестированию безопасности High-Tech Bridge ( Женева , Швейцария ) выпустила пресс-релиз, в котором говорилось, что Yahoo! предлагала за уязвимости кредит в 12,50 $, за которые можно было приобрести брендовые вещи, такие как футболки, чашки и ручки из магазина Yahoo. Рамзес Мартинес, директор Yahoo по информационной безопасности, заявил позже в своем блоге, что он стоял за этой программой и фактически платил за них из собственного кармана. В итоге компания Yahoo! запустила новую программу Bug Bounty 31 октября того же года, позволявшую сообщать об уязвимостях и получать награды от 250 до 15 000 $, в зависимости от критичности обнаруженных ошибок.

С похожей проблемой столкнулась компания Ecava, запустившая в 2013 году первую программу Bug Bounty для АСУ . Она подверглась критике за то, что вместо реальных денег предлагала кредит в своём магазине, что не вызывало энтузиазма у исследователей . По словам Ecava, программа с самого начала планировалась ограниченной и фокусировалась на безопасности пользователей их продукта IntegraXor SCADA .

Известные программы

В октябре 2013 года компания Google анонсировала существенное изменение в свою программу вознаграждений для нашедших уязвимости. Раньше программа Bug Bounty охватывала многие продукты Google. Однако программа была расширена, чтобы включать ряд свободных приложений и библиотек с высоким риском, в первую очередь тех, которые предназначены для сетей или для функциональности низкоуровневой операционной системы. Отчёты, которые соответствуют нормативам Google, могут быть вознаграждены в пределах от 500 до 3133,70 $.

Аналогичным образом компании Microsoft и Facebook объединились в ноябре 2013 года для спонсирования программы The Internet Bug Bounty, предлагающей награду за отчёты об уязвимостях и эксплойтах для широкого спектра программного обеспечения, связанного с Интернетом. В 2017 году эту программу проспонсировали GitHub и фонд Форда ; ею управляют волонтёры из Uber, Microsoft, Facebook, Adobe и HackerOne. В ней участвуют такие продукты, как Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , nginx , Apache HTTP Server и Phabricator . Кроме того, в рамках программы предлагалась награда за выявление более широких уязвимостей, затрагивающих широко используемые операционные системы и веб-браузеры , а также Интернет в целом.

В марте 2016 года Питер Кук объявил первую программу Bug Bounty федерального правительства США, Hack the Pentagon («Взломай Пентагон »). Программа проходила с 18 апреля по 12 мая, и более 1400 человек подали 138 уникальных отчётов через HackerOne. В общей сложности Министерство обороны США выплатило 71 200 $. В июне министр обороны Эш Картер встретился с двумя участниками, Дэвидом Дворкеном и Крейгом Арендом, чтобы поблагодарить их за участие в программе.

Open Bug Bounty — коллективная программа Bug Bounty, запущенная в 2014 году и позволяющая сообщать об уязвимостях сайтов и веб-приложений в надежде на вознаграждение от их владельцев.

8 декабря 2020 года Казахстанская компания по предоставлению услуг кибербезопасности запустила . К платформе, помимо частных компаний, также были подключены информационные системы и ресурсы государственных органов. С момента запуска платформы по 28 октября 2021 года было получено 1039 отчетов об уязвимостях [ источник не указан 383 дня ] . За время функционирования платформы были выявлены уязвимости, которые приводили к утечке персональных данных из критически важных объектов информационно-коммуникационной инфраструктуры и перехвату управления системами жизнеобеспечения целого города [ источник не указан 383 дня ] .

В 2021 году компания анонсировала и запустила площадку , первую в РФ платформу для поиска уязвимостей и взаимодействия баг-хантеров и владельцев ресурсов [ источник не указан 383 дня ] . С момента запуска программы было выявлено несколько сотен уязвимостей, от незначительных до сверх-критичных [ источник не указан 383 дня ] .

В 2022 году компания Positive Technologies представила свою платформу The Standoff 365 Bug Bounty . Впервые исследователи безопасности на ней могут получать награду не только за обнаружение уязвимостей, но и за бизнес-рисков. За два месяца на платформе более 900 исследователей безопасности [ источник не указан 383 дня ] .

См. также

Примечания

  1. Facebook Security. . Facebook (26 апреля 2014). Дата обращения: 11 марта 2014. 29 января 2021 года.
  2. . HackerOne . Дата обращения: 11 марта 2014. 26 февраля 2018 года.
  3. . Дата обращения: 23 ноября 2016. 11 марта 2014 года.
  4. . Дата обращения: 23 ноября 2016. 12 апреля 2018 года.
  5. 21 ноября 2013 года.
  6. . Дата обращения: 23 ноября 2016. 9 октября 2016 года.
  7. CenturyLink . Дата обращения: 30 июля 2016. 12 апреля 2018 года.
  8. . Дата обращения: 23 ноября 2016. 11 марта 2016 года.
  9. Whitehat, Facebook . CNET. Дата обращения: 2 февраля 2020. 2 февраля 2020 года.
  10. . Factor Daily (8 февраля 2018). Дата обращения: 4 июня 2018. 22 октября 2019 года.
  11. T-shirt Gate, Yahoo! . ZDNet . Дата обращения: 2 февраля 2020. 28 сентября 2014 года.
  12. Bug Bounty, Yahoo! . Ramses Martinez. Дата обращения: 2 октября 2013. 12 ноября 2020 года.
  13. BugBounty Program, Yahoo! . Ramses Martinez. Дата обращения: 31 октября 2013. 2 февраля 2020 года.
  14. Michael Toecker. . Digital Bond (23 июля 2013). Дата обращения: 21 мая 2019. 27 мая 2019 года.
  15. Steve Ragan. . CSO (18 июля 2013). Дата обращения: 21 мая 2019. 27 июля 2020 года.
  16. Fahmida Y. Rashi. . Security Week (16 июля 2013). Дата обращения: 21 мая 2019. 1 октября 2019 года.
  17. Goodin, Dan . Ars Technica (9 октября 2013). Дата обращения: 11 марта 2014. 12 марта 2016 года.
  18. Zalewski, Michal . Google Online Security Blog (9 октября 2013). Дата обращения: 11 марта 2014. 22 сентября 2015 года.
  19. Goodin, Dan . Ars Technica (6 ноября 2013). Дата обращения: 11 марта 2014. 11 марта 2016 года.
  20. . VentureBeat (21 июля 2017). Дата обращения: 4 июня 2018. 2 февраля 2020 года.
  21. . Дата обращения: 23 ноября 2016. 12 марта 2014 года.
  22. . Дата обращения: 23 ноября 2016. Архивировано из 13 марта 2016 года.
  23. от 11 апреля 2016 на Wayback Machine .
  24. . Дата обращения: 23 ноября 2016. 12 апреля 2018 года.
  25. Валерия Бунина (2022-05-19). . gazeta.ru . из оригинала 25 июля 2022 . Дата обращения: 25 июля 2022 .

Ссылки

Источник —

Same as Bug Bounty