Video: Finding Your First Bug: Business Logic Errors (Listopad 2024)
Řekněme, že jste vydavatel softwaru s celosvětovou působností. Bezpečnostní díra v jednom z vašich produktů, která umožňuje padouchům ukrást soukromé informace nebo vzdáleně ovládat počítač oběti, může mít dalekosáhlé důsledky. Pokud někdo objevil takovou díru, raději byste o ní řekli, než prodali informace o černém trhu s počítačovou kriminalitou, že? Programy „Bug Bounty“ mají za cíl povzbudit tento druh sdílení odměnou těch, kteří objevují bezpečnostní díry, hotovostí, slávou nebo obojím, a jsou běžnější, než si můžete uvědomit.
Bounties Abound
Program Yahoo's Bug Bounty program zveřejnil začátkem tohoto týdne zprávy. Skupina švýcarských vědců, kteří program zkoumali, začala lovem tří závažných chyb pro skriptování na různých webech na stránkách Yahoo, což jsou bezpečnostní díry, které by útočníkovi mohly umožnit převzít e-mailový účet oběti Yahoo. (Hledání těchto chyb jim trvalo jeden den - děsivé!). Po ověření zprávy nabídl Yahoo 12, 50 $ za každou chybu, kterou lze v obchodě společnosti vyměnit za lup.
Tato odměna se zdála pro mnohé chintzy. Vůle z této zprávy byla natolik významná, že Yahoo oznámil změnu, na čem již pracovali. Nový program odměn za chyby odmění výzkumné pracovníky, kteří ohlásí ověřenou chybu v hotovosti, nikoli v lupu, ve výši 150 až 15 000 USD, přičemž přesná částka bude stanovena jasným předdefinovaným vzorcem. Nový program by měl být zaveden do konce tohoto měsíce, ale je zpětný do 1. července.
Myslíš, že jsi našel bezpečnostní díru, která by stála za něco? Webové stránky bugcrowd obsahují seznam všech aktuálních programů odměn za chyby, které je rozdělují na ty, které nabízejí odměnu, slávu plus lup, jen slávu nebo žádnou odměnu. Kliknutím na odkaz daného produktu nebo služby přejdete na jeho stránku s přehledy.
Facebook například nabízí minimální odměnu 500 $, bez přednastaveného maxima. V srpnu Facebook vyplatil v takových odměnách přes milion dolarů.
Výplaty od Google za ověřené chyby se řídí dobře definovanou tabulkou hodnot. Ty se pohybují od 100 USD za běžnou webovou chybu na webu Google s nízkou prioritou až po 20 000 USD, pokud jde o zranitelnost při vzdáleném spuštění kódu ve vysoce citlivé službě. V kývnutí na "leet-talk", některé typy přicházejí s odměnou 1337 dolarů.
Microsoft je jiný
Společnost Microsoft nabízí vědcům 100 000 dolarů nebo dokonce více za práci, která zvyšuje bezpečnost, ale ukázalo se, že program společnosti Microsoft není přesně odměnou za chyby. Katie Moussouris, vedoucí bezpečnostní stratég pro Microsoft Trustworthy Computing, vysvětlil tento rozdíl.
„Microsoft má 100 000 USD na zmírnění Bypass Bounty, která vyžaduje, aby účastníci předložili skutečně nové techniky vykořisťování proti naší nejnovější platformě Windows, “ řekl Moussouris, „abychom mohli vylepšit obranu celé platformy. Nové techniky vykořisťování je obtížnější najít než jednotlivé zranitelnosti a učení o nich pomůžou nám chránit zákazníky před celou řadou útoků, abychom zvýšili zabezpečení pomocí skoků, namísto řešení jedné zranitelnosti najednou. “ Na závěr uvedla: „Doporučujeme vědcům, aby si přečetli pokyny našich odměnových programů na adrese www.microsoft.com/bountyprograms a zaslali své příspěvky na [email protected].“
Vědec, který nejen hlásí novou techniku vykořisťování, ale také dodává nápady na obranu, může získat další bonus ve výši 50 000 $ BlueHat. A pamatujte si, že v roce 2012 Microsoft vyplatil více než čtvrt milionu vítězům soutěže BlueHat Prize.
Získání odměny Microsoftu vyžaduje spoustu zkušeností a útržek geniality. Bezpečnost je často hra s kočkou a myší, zločinci vymýšlejí nové útoky a obránci na tyto útoky reagují novými čítači. Přijít s novými vykořisťovacími technikami (a obranami proti nim) dříve, než padouchy postaví vedení do vedení. Jako uživatel systému Windows pozdravuji příjemce. Díky hoši!
