The Bug Genie
- 1 year ago
- 0
- 0
Программа Bug Bounty — это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок , особенно тех, которые касаются эксплойтов и уязвимостей . Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления. В частности, программы Bug Bounty были реализованы компаниями Facebook , Yahoo! , Google , Reddit , Square , Apple и Microsoft .
Изначально программа «Bug Bounty» была создана Джарреттом Ридлинхафером, когда он работал в Netscape Communications Corporation в качестве инженера технической поддержки. Корпорация поощряла своих сотрудников продвигаться по карьерной лестнице и делать все необходимое, чтобы работа была выполнена.
В начале 1996 года Джарретт Ридлинхафер придумал фразу и идею Bugs Bounty. Он осознавал, что в корпорации есть много энтузиастов и ИТ-евангелистов тех или иных продуктов, некоторые из которых ему даже казались фанатичными, особенно в отношении браузера Mosaic / Netscape / Mozilla . Он начал исследовать ситуацию более подробно и обнаружил, что большинство энтузиастов были на самом деле разработчиками программного обеспечения. Они исправляли ошибки продуктов самостоятельно и публиковали исправления или улучшения продуктов:
Ридлинхафер посчитал, что компания должна использовать эти ресурсы, и написал предложение своему менеджеру о Netscape Bugs Bounty Program , а тот предложил Ридлинхаферу представить его на следующем исполнительном заседании компании.
На следующем исполнительном заседании, в котором приняли участие Джеймс Барксдейл, Марк Андриссен и вице-президенты всех отделов, включая разработку продукта, каждому члену была вручена копия предложения Netscape Bugs Bounty Program , и Ридлинхафер был приглашен представить свою идею топ-менеджменту Netscape.
Все присутствующие на собрании приняли идею, за исключением вице-президента инжиниринга , который не хотел двигаться вперед, считая это пустой тратой времени. Однако его мнение было отвергнуто, и Ридлинхаферу дали начальный бюджет 50 тыс. $, чтобы начать работу над своим предложением. Первая официальная программа Bugs Bounty была запущена в 1995 году.
Программа имела настолько крупный успех, что она упоминается во многих книгах об успехах корпорации Netscape [ источник не указан 383 дня ] .
В августе 2013 года студент факультета компьютерных наук по имени Халиль сообщил в Facebook об эксплойте , позволявшем любому пользователю разместить видео на чьём угодно аккаунте. Согласно его email-переписке, он пытался сообщить об уязвимости в рамках программы Bug Bounty Facebook, но сотрудники Facebook неверно его поняли. Позднее он сам воспользовался этим эксплойтом от лица главы Facebook Марка Цукерберга , поэтому ему отказали в вознаграждении.
Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выдавая им особые дебетовые карты «White Hat», на которые начисляются деньги всякий раз, когда исследователи находят новые недостатки и ошибки. «Исследователи, которые находят ошибки и возможности по улучшению системы безопасности, редки, и мы их ценим и должны вознаграждать их», — рассказал в интервью CNET Райан Макгихен, бывший менеджер Facebook по безопасности. «Наличие этой эксклюзивной чёрной карты — это ещё один способ признать их заслуги. Они могут на конференции показать эту карточку и сказать: я делал особую работу для Facebook». В 2014 году Facebook прекратила выдачу дебетовых карт для исследователей.
Индия, которая занимает одно из первых мест в мире по количеству охотников на уязвимости, возглавляет программу Bug Bounty Facebook по количеству найденных ошибок.
Компания Yahoo! была подвергнута жёсткой критике за рассылку футболок в награду для исследователей в области безопасности за обнаружение и сообщение об уязвимостях в Yahoo. Это событие стали называть T-shirt-gate («футболка-гейт»). Компания по тестированию безопасности High-Tech Bridge ( Женева , Швейцария ) выпустила пресс-релиз, в котором говорилось, что Yahoo! предлагала за уязвимости кредит в 12,50 $, за которые можно было приобрести брендовые вещи, такие как футболки, чашки и ручки из магазина Yahoo. Рамзес Мартинес, директор Yahoo по информационной безопасности, заявил позже в своем блоге, что он стоял за этой программой и фактически платил за них из собственного кармана. В итоге компания Yahoo! запустила новую программу Bug Bounty 31 октября того же года, позволявшую сообщать об уязвимостях и получать награды от 250 до 15 000 $, в зависимости от критичности обнаруженных ошибок.
С похожей проблемой столкнулась компания Ecava, запустившая в 2013 году первую программу Bug Bounty для АСУ . Она подверглась критике за то, что вместо реальных денег предлагала кредит в своём магазине, что не вызывало энтузиазма у исследователей . По словам Ecava, программа с самого начала планировалась ограниченной и фокусировалась на безопасности пользователей их продукта IntegraXor SCADA .
В октябре 2013 года компания Google анонсировала существенное изменение в свою программу вознаграждений для нашедших уязвимости. Раньше программа Bug Bounty охватывала многие продукты Google. Однако программа была расширена, чтобы включать ряд свободных приложений и библиотек с высоким риском, в первую очередь тех, которые предназначены для сетей или для функциональности низкоуровневой операционной системы. Отчёты, которые соответствуют нормативам Google, могут быть вознаграждены в пределах от 500 до 3133,70 $.
Аналогичным образом компании Microsoft и Facebook объединились в ноябре 2013 года для спонсирования программы The Internet Bug Bounty, предлагающей награду за отчёты об уязвимостях и эксплойтах для широкого спектра программного обеспечения, связанного с Интернетом. В 2017 году эту программу проспонсировали GitHub и фонд Форда ; ею управляют волонтёры из Uber, Microsoft, Facebook, Adobe и HackerOne. В ней участвуют такие продукты, как Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , nginx , Apache HTTP Server и Phabricator . Кроме того, в рамках программы предлагалась награда за выявление более широких уязвимостей, затрагивающих широко используемые операционные системы и веб-браузеры , а также Интернет в целом.
В марте 2016 года Питер Кук объявил первую программу Bug Bounty федерального правительства США, Hack the Pentagon («Взломай Пентагон »). Программа проходила с 18 апреля по 12 мая, и более 1400 человек подали 138 уникальных отчётов через HackerOne. В общей сложности Министерство обороны США выплатило 71 200 $. В июне министр обороны Эш Картер встретился с двумя участниками, Дэвидом Дворкеном и Крейгом Арендом, чтобы поблагодарить их за участие в программе.
Open Bug Bounty — коллективная программа Bug Bounty, запущенная в 2014 году и позволяющая сообщать об уязвимостях сайтов и веб-приложений в надежде на вознаграждение от их владельцев.
8 декабря 2020 года Казахстанская компания по предоставлению услуг кибербезопасности запустила . К платформе, помимо частных компаний, также были подключены информационные системы и ресурсы государственных органов. С момента запуска платформы по 28 октября 2021 года было получено 1039 отчетов об уязвимостях [ источник не указан 383 дня ] . За время функционирования платформы были выявлены уязвимости, которые приводили к утечке персональных данных из критически важных объектов информационно-коммуникационной инфраструктуры и перехвату управления системами жизнеобеспечения целого города [ источник не указан 383 дня ] .
В 2021 году компания анонсировала и запустила площадку , первую в РФ платформу для поиска уязвимостей и взаимодействия баг-хантеров и владельцев ресурсов [ источник не указан 383 дня ] . С момента запуска программы было выявлено несколько сотен уязвимостей, от незначительных до сверх-критичных [ источник не указан 383 дня ] .
В 2022 году компания Positive Technologies представила свою платформу The Standoff 365 Bug Bounty . Впервые исследователи безопасности на ней могут получать награду не только за обнаружение уязвимостей, но и за бизнес-рисков. За два месяца на платформе более 900 исследователей безопасности [ источник не указан 383 дня ] .