Bug Bounty

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Программа Bug Bounty — это программа, предлагаемая многими веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей. Эти программы позволят разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая случаи массовых злоупотреблений. Bug bounty программы были реализованы на Facebook,[1] Yahoo!,[2] Google,[3] Reddit,[4] Square, Apple и Microsoft.[5]

История[править | править код]

Изначально программа «Bug Bounty» была создана Джарреттом Ридлинхафером, когда он работал в Netscape Communications Corporation в качестве инженера технической поддержки.

Корпорация поощряла своих сотрудников, чтобы продвигать их и делать все необходимое, чтобы получить работу и, в начале 1996 года, Джаррет Ридлинхафер вдохновился идеей и придумал фразу, 'Bugs Bounty'.

Он осознавал, что в корпорации есть много энтузиастов и ИТ-евангелистов для своих продуктов, некоторые из которых ему даже казались, фанатичными, особенно Mosaic/Netscape/Mozilla браузер. Он начал исследовать ситуацию более подробно и обнаружил, что большинство энтузиастов были на самом деле разработчиками программного обеспечения. Они исправляли ошибки продуктов самостоятельно и публиковали исправления или улучшения продуктов:

  • в новостных форумах, которые были созданы отделом технической поддержки компании Netscape для возможности «самопомощи через сотрудничество» (еще одна из идей Ридлинхафера во время четырёхлетней работы в корпорации); или
  • на неофициальном «Netscape U-FAQ» сайте, где каждая известная ошибка и особенность браузера были включены в перечень, а также инструкции относительно устранения ошибок и исправлений.

Ридлинхафер думал, что компания должна использовать эти ресурсы и написал предложение своему менеджеру о 'Netscape Bugs Bounty Program', который, в свою очередь, предположил Ридлинхаферу представить его на следующем исполнительном заседании компании.

На следующем исполнительном заседании, в котором приняли участие Джеймс Барксдейл, Марк Андреессен и вице-президенты каждого отдела cо своим продуктом, каждому члену была вручена копия предложения 'Netscape Bugs Bounty Program' и Ридлинхафер был приглашен представить свою идею Исполнительной команде Netscape.

Все присутствующие на собрании приняли идею, за исключением вице-президента инженерии, который не хотел двигаться вперед, считая это пустой тратой времени. Однако, вице-президент по инженерии был отвергнут и Ридлинхаферу дали начальный бюджет $50 тыс., чтобы начать работу со своим предложением и первая официальная 'Bugs Bounty' программа была запущена в 1995 году.[6][7][8]

Программа имела настолько огромный успех, что это упоминается во многих книгах об успехах Netscape корпорации.

Инциденты[править | править код]

В августе 2013 года студент факультета компьютерных наук по имени Халиль использовал эксплойт, чтобы отправить письмо на Facebook хронологию основателя сайта Марка Цукерберга. По словам хакера, он пытался сообщить об уязвимости, используя программу bug bounty для Facebook, но из-за расплывчатых и неполных отчетов, команда сказала ему, что его уязвимость не была ошибкой.[9]

Дебетовая карта Facebook для белых шляп, которая даётся исследователям, сообщающим об ошибке безопасности

Facebook начали платить исследователям, которые находят и сообщают об ошибках безопасности, выпуская их на заказ под маркой «White Hat» дебетовые карты, на которые могут быть загружены денежные средства каждый раз, когда исследователи находят новые недостатки и ошибки. "Исследователи, которые находят ошибки и возможности по улучшению системы безопасности, редки, и мы их ценим и должны вознаграждать их, " Райан Макгихан, бывший менеджер Facebook по безопасности, группа реагирования, сообщает сайт CNET в интервью. «Наличие этой эксклюзивной чёрной карты — это ещё один способ найти их. Они могут на конференции показать эту карточку и сказать: ‘я сделал специальную работу для Facebook».[10] В 2014 году, Facebook прекратила выдачу дебетовых карт для исследователей.

Индия, которая занимает второе место в мире по количеству охотников на уязвимости,[11] возглавляет программу Bug Bounty Facebook по нахождению наибольшего количества ошибок."Исследователи России заработали наибольшую сумму по докладу 2013 года, получив в среднем $3,961 за 38 ошибок. Индия внесла вклад за наибольшее количество найденных ошибок 136, в среднем вознаграждение составило $1,353. США сообщили о 92 ошибках, а в среднем вознаграждение составило $2,272. Бразилия и Великобритания стали третей и четвёртой по объёму, 53 и 40 ошибок, соответственно, и средняя вознаграждения в размере $3,792 и $2,950", Facebook процитировал в посте.[12]

Компания Yahoo! была подвергнута жесткой критике за рассылку футболок как награду для исследователей в области безопасности за обнаружение и сообщение об уязвимости в Yahoo!, стали называть футболка-гейт.[13] High-Tech Bridge, в Женеве, Швейцарии — система безопасности, на основе тестирования компания выпустила пресс-релиз, в котором говорилось, что Yahoo! предложила $12.50 в кредит на уязвимости, которые могут быть использованы к компании Yahoo — брендовые вещи, такие как футболки, чашки и ручки из магазина. Рамзес Мартинес, директор Yahoo по информационной безопасности заявил позже в своем блоге[14] , что он был за ваучер награды, и что он фактически платил за них из собственного кармана. В конце концов, Компания Yahoo! запустила свою новую программу Bug Bounty 31 октября того же года, что позволяет исследователям безопасности представить ошибки и получать награды от 250 и $15,000, в зависимости от тяжести обнаруженных ошибок.[15]

Известные программы[править | править код]

В октябре 2013 года компания Google анонсировала существенное изменение в их программу вознаграждений, для нашедших уязвимости. Раньше программа bug bounty охватывала многие Google продукты. Однако, программа была расширена, чтобы включать выбор высокого риска бесплатного программного обеспечения приложений и библиотек, в первую очередь тех, которые предназначены для сетей или для функциональности низкоуровневой операционной системы. Материалы, которые Google нашли сторонникам указаний будут иметь право на получение вознаграждения в пределах от $ 500 до $ 3133,70.[16][17]

Аналогичным образом, компании Microsoft и Facebook объединились в ноябре 2013 года спонсировать в сети Bug Bounty программы, чтобы предложить награду за отчетные хаки и эксплойты для широкого спектра программного обеспечения связанного с Интернетом.[18] Программное обеспечение распространяемое IBB (Internet Business Bureau) включает в себя Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server и Phabricator. Кроме того, в рамках программы предлагается награда за более широкие ошибки, затрагивающие широко используемые операционные системы и веб-браузеры, а также Интернет в целом.[19]

В марте 2016 года, Питер Кук объявил первую программу bug bounty федерального правительства, «взломать Пентагон» .[20] Программа проходила с 18 апреля по 12 мая и более 1400 человек подали 138 уникальных отчетов через HackerOne. В общем, Министерство обороны США выплатило $71,200.[21] В июне, министр обороны Эш Картер, встретился с двумя участниками, Дэвидом Дворкеном и Крейгом Арендом, чтобы поблагодарить их за их участие в программе.[22]

См. также[править | править код]

Примечания[править | править код]

  1. Facebook Security (26 April 2014).
  2. "Yahoo!
  3. «Vulnerability Assessment Reward Program».
  4. «Reddit — whitehat».
  5. «Microsoft Bounty Programs» (недоступная ссылка).
  6. «Netscape announces Netscape Bugs Bounty with relaase of nestscape navigator 2.0».
  7. «Cobalt Application Security Platform».
  8. CenturyLink.
  9. «Hacker posts Facebook bug report on Zuckerberg’s wall».
  10. Whitehat, Facebook.
  11. Researchers, Indian.
  12. BugBounty Update, Facebook.
  13. T-shirt Gate, Yahoo!
  14. Bug Bounty, Yahoo!
  15. BugBounty Program, Yahoo!
  16. Goodin, Dan (9 October 2013).
  17. Zalewski, Michal (9 October 2013).
  18. Goodin, Dan (6 November 2013).
  19. «The Internet Bug Bounty».
  20. «DoD Invites Vetted Specialists to 'Hack' the Pentagon».
  21. «Vulnerability disclosure for Hack the Pentagon».
  22. «18-year-old hacker honored at Pentagon».

Ссылки[править | править код]