Bug Bounty

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Программа Bug Bounty — это программа, предлагаемая многими веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления. В частности, программы Bug Bounty были реализованы компаниями Facebook,[1] Yahoo!,[2] Google,[3] Reddit,[4] Square, Apple и Microsoft.[5]

История[править | править код]

Изначально программа «Bug Bounty» была создана Джарреттом Ридлинхафером, когда он работал в Netscape Communications Corporation в качестве инженера технической поддержки. Корпорация поощряла своих сотрудников продвигаться по карьерной лестнице и делать все необходимое, чтобы работа была выполнена.

В начале 1996 года Джарретт Ридлинхафер придумал фразу и идею Bugs Bounty. Он осознавал, что в корпорации есть много энтузиастов и ИТ-евангелистов тех или иных продуктов, некоторые из которых ему даже казались фанатичными, особенно в отношении браузера Mosaic/Netscape/Mozilla. Он начал исследовать ситуацию более подробно и обнаружил, что большинство энтузиастов были на самом деле разработчиками программного обеспечения. Они исправляли ошибки продуктов самостоятельно и публиковали исправления или улучшения продуктов:

  • в новостных форумах, которые были созданы отделом технической поддержки компании Netscape для возможности «самопомощи через сотрудничество» (ещё одна из идей Ридлинхафера во время четырёхлетней работы в корпорации);
  • на неофициальном сайте «Netscape U-FAQ», где все известные ошибки и особенности браузера, а также инструкции относительно устранения ошибок и исправлений были включены в перечень.

Ридлинхафер посчитал, что компания должна использовать эти ресурсы, и написал предложение своему менеджеру о Netscape Bugs Bounty Program, а тот предложил Ридлинхаферу представить его на следующем исполнительном заседании компании.

На следующем исполнительном заседании, в котором приняли участие Джеймс Барксдейл, Марк Андриссен и вице-президенты всех отделов, включая разработку продукта, каждому члену была вручена копия предложения Netscape Bugs Bounty Program, и Ридлинхафер был приглашен представить свою идею топ-менеджменту Netscape.

Все присутствующие на собрании приняли идею, за исключением вице-президента инжиниринга, который не хотел двигаться вперед, считая это пустой тратой времени. Однако его мнение было отвергнуто, и Ридлинхаферу дали начальный бюджет 50 тыс. $, чтобы начать работу над своим предложением. Первая официальная программа Bugs Bounty была запущена в 1995 году.[6][7][8]

Программа имела настолько крупный успех, что она упоминается во многих книгах об успехах корпорации Netscape.

Инциденты[править | править код]

В августе 2013 года студент факультета компьютерных наук по имени Халиль сообщил в Facebook об эксплойте, позволявшем любому пользователю разместить видео на чьём угодно аккаунте. Согласно его email-переписке, он пытался сообщить об уязвимости в рамках программы Bug Bounty Facebook, но сотрудники Facebook неверно его поняли. Позднее он сам воспользовался этим эксплойтом от лица главы Facebook Марка Цукерберга, поэтому ему отказали в вознаграждении.[9]

Дебетовая карта Facebook для «белых шляп», которая даётся исследователям, сообщающим об ошибке безопасности

Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выдавая им особые дебетовые карты «White Hat», на которые начисляются деньги всякий раз, когда исследователи находят новые недостатки и ошибки. «Исследователи, которые находят ошибки и возможности по улучшению системы безопасности, редки, и мы их ценим и должны вознаграждать их», — рассказал в интервью CNET Райан Макгихен, бывший менеджер Facebook по безопасности. «Наличие этой эксклюзивной чёрной карты — это ещё один способ признать их заслуги. Они могут на конференции показать эту карточку и сказать: я делал особую работу для Facebook».[10] В 2014 году Facebook прекратила выдачу дебетовых карт для исследователей.

Индия, которая занимает одно из первых мест в мире по количеству охотников на уязвимости,[11] возглавляет программу Bug Bounty Facebook по количеству найденных ошибок.

Компания Yahoo! была подвергнута жёсткой критике за рассылку футболок в награду для исследователей в области безопасности за обнаружение и сообщение об уязвимостях в Yahoo. Это событие стали называть T-shirt-gate («футболка-гейт»).[12] Компания по тестированию безопасности High-Tech Bridge (Женева, Швейцария) выпустила пресс-релиз, в котором говорилось, что Yahoo! предлагала за уязвимости кредит в 12,50 $, за которые можно было приобрести брендовые вещи, такие как футболки, чашки и ручки из магазина Yahoo. Рамзес Мартинес, директор Yahoo по информационной безопасности, заявил позже в своем блоге,[13] что он стоял за этой программой и фактически платил за них из собственного кармана. В итоге компания Yahoo! запустила новую программу Bug Bounty 31 октября того же года, позволявшую сообщать об уязвимостях и получать награды от 250 до 15 000 $, в зависимости от критичности обнаруженных ошибок.[14]

С похожей проблемой столкнулась компания Ecava, запустившая в 2013 году первую программу Bug Bounty для АСУ[15][16]. Она подверглась критике за то, что вместо реальных денег предлагала кредит в своём магазине, что не вызывало энтузиазма у исследователей[17]. По словам Ecava, программа с самого начала планировалась ограниченной и фокусировалась на безопасности пользователей их продукта IntegraXor SCADA[15][16].

Известные программы[править | править код]

В октябре 2013 года компания Google анонсировала существенное изменение в свою программу вознаграждений для нашедших уязвимости. Раньше программа Bug Bounty охватывала многие продукты Google. Однако программа была расширена, чтобы включать ряд свободных приложений и библиотек с высоким риском, в первую очередь тех, которые предназначены для сетей или для функциональности низкоуровневой операционной системы. Отчёты, которые соответствуют нормативам Google, могут быть вознаграждены в пределах от 500 до 3133,70 $.[18][19]

Аналогичным образом компании Microsoft и Facebook объединились в ноябре 2013 года для спонсирования программы The Internet Bug Bounty, предлагающей награду за отчёты об уязвимостях и эксплойтах для широкого спектра программного обеспечения, связанного с Интернетом.[20] В 2017 году эту программу проспонсировали GitHub и фонд Форда; ею управляют волонтёры из Uber, Microsoft, Facebook, Adobe и HackerOne.[21] В ней участвуют такие продукты, как Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, nginx, Apache HTTP Server и Phabricator. Кроме того, в рамках программы предлагалась награда за выявление более широких уязвимостей, затрагивающих широко используемые операционные системы и веб-браузеры, а также Интернет в целом.[22]

В марте 2016 года Питер Кук объявил первую программу Bug Bounty федерального правительства США, Hack the Pentagon («Взломай Пентагон»).[23] Программа проходила с 18 апреля по 12 мая, и более 1400 человек подали 138 уникальных отчётов через HackerOne. В общей сложности Министерство обороны США выплатило 71 200 $.[24] В июне министр обороны Эш Картер встретился с двумя участниками, Дэвидом Дворкеном и Крейгом Арендом, чтобы поблагодарить их за участие в программе.[25]

Open Bug Bounty — коллективная программа Bug Bounty, запущенная в 2014 году и позволяющая сообщать об уязвимостях сайтов и веб-приложений в надежде на вознаграждение от их владельцев.

См. также[править | править код]

Примечания[править | править код]

  1. Facebook Security. Facebook WhiteHat. Facebook (26 April 2014). Дата обращения 11 марта 2014.
  2. Yahoo! Bug Bounty Program. HackerOne. Дата обращения 11 марта 2014.
  3. «Vulnerability Assessment Reward Program»
  4. «Reddit — whitehat»
  5. «Microsoft Bounty Programs» Архивировано 21 ноября 2013 года.
  6. «Netscape announces Netscape Bugs Bounty with relaase of nestscape navigator 2.0»
  7. «Cobalt Application Security Platform»
  8. CenturyLink CenturyLinkVoice: Why Companies Like Pinterest Run Bug Bounty Programs Through The Cloud. Дата обращения 30 июля 2016.
  9. «Hacker posts Facebook bug report on Zuckerberg’s wall»
  10. Whitehat, Facebook Facebook whitehat Debit card. CNET.
  11. Bug hunters aplenty but respect scarce for white hat hackers in India. Factor Daily (8 February 2018). Дата обращения 4 июня 2018.
  12. T-shirt Gate, Yahoo! Yahoo! T-shirt gate. ZDNet.
  13. Bug Bounty, Yahoo! So I'm the guy who sent the t-shirt out as a thank you. Ramses Martinez. Дата обращения 2 октября 2013.
  14. BugBounty Program, Yahoo! Yahoo! launched its Bug Bounty Program. Ramses Martinez. Дата обращения 31 октября 2013.
  15. 1 2 Michael Toecker. More on IntegraXor's Bug Bounty Program. Digital Bond (23 July 2013). Дата обращения 21 мая 2019.
  16. 1 2 Steve Ragan. SCADA vendor faces public backlash over bug bounty program. CSO (18 July 2013). Дата обращения 21 мая 2019.
  17. Fahmida Y. Rashi. SCADA Vendor Bashed Over "Pathetic" Bug Bounty Program. Security Week (16 July 2013). Дата обращения 21 мая 2019.
  18. Goodin, Dan Google offers "leet" cash prizes for updates to Linux and other OS software. Ars Technica (9 October 2013). Дата обращения 11 марта 2014.
  19. Zalewski, Michal Going beyond vulnerability rewards. Google Online Security Blog (9 October 2013). Дата обращения 11 марта 2014.
  20. Goodin, Dan Now there's a bug bounty program for the whole Internet. Ars Technica (6 November 2013). Дата обращения 11 марта 2014.
  21. Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure. VentureBeat (21 July 2017). Дата обращения 4 июня 2018.
  22. «The Internet Bug Bounty»
  23. «DoD Invites Vetted Specialists to 'Hack' the Pentagon»
  24. «Vulnerability disclosure for Hack the Pentagon».
  25. «18-year-old hacker honored at Pentagon»

Ссылки[править | править код]