Во всем программном обеспечении есть ошибки или недостатки, которые вызывают проблемы. Они варьируются от банальных проблем, которые никак не влияют на производительность программного обеспечения, до серьезных уязвимостей в системе безопасности.
Ошибки может быть трудно обнаружить, поэтому многие технологические компании имеют программы вознаграждения за обнаружение ошибок. Но что такое программы Bug Bounty? Как они работают и как помогают повысить безопасность продукта?
Как работают программы Bug Bounty
Компании запускают программы Bug Bounty, чтобы стимулировать хакеры в белой шляпе искать дыры в безопасности и подобные уязвимости в программном обеспечении. Обычно для тех, кто обнаружит ошибку, предусмотрен более чем приличный денежный приз, какой бы незначительной она ни казалась обычному человеку.
И не только маленькие перспективные компании имеют программы поощрения ошибок. На самом деле ими управляет большинство технологических гигантов, включая Google, Microsoft, Facebook и Apple. Подробности об этих программах обычно можно найти на официальном сайте компании. Чаще всего существует несколько уровней или категорий. Но в принципе, чем значительнее ошибка, тем выше награда.
Как только хакер в белой шляпе обнаруживает ошибку, он представляет подробный отчет о раскрытии информации, объясняющий, что они нашли. Затем инженеры компании просматривают и изучают представление, и, если выводы исследователя оказываются точными и полезными, они получают уведомление и денежное вознаграждение.
Эта система работает как для компаний, так и для независимых исследователей. С точки зрения любой компании, лучше, чтобы ошибку обнаружил этичный хакер, чем злоумышленник, который, скорее всего, пойдет дальше. эксплуатировать его до того, как он будет исправлен, потенциально причиняя миллионы убытков. Хакеры, с другой стороны, зарабатывают неплохие деньги, участвуя в программах вознаграждения за обнаружение ошибок — некоторые даже зарабатывают полный рабочий день, обнаруживая уязвимости в программном обеспечении.
Примеры программ Bug Bounty, повышающих безопасность программного обеспечения
Хорошо знать, как теоретически работают программы вознаграждения за обнаружение ошибок, но давайте взглянем на несколько реальных примеров компаний, выплачивающих огромные суммы белым хакерам.
В сотрудничестве с платформой по поиску ошибок Immunefi децентрализованная мостовая платформа блокчейна Wormhole в феврале 2022 года запустила программу вознаграждений, предлагающую 10 миллионов долларов каждому, кто обнаружит критическую безопасность ошибка. Достаточно скоро хакер в белой шляпе под псевдонимом satya0x обнаружил один из них. Как объяснил Иммунефи в Середина post, ошибка могла привести к блокировке средств пользователей, поэтому satya0x получила 10 миллионов долларов за ее раскрытие.
Также в феврале 2022 года криптовалютная биржа Коинбейс выплатил вознаграждение в размере 250 000 долларов США независимому исследователю за обнаружение серьезной уязвимости в торговом интерфейсе платформы.
Аврора Лабс, компания, стоящая за виртуальной машиной Aurora Ethereum (ETH), в апреле 2022 года выплатила огромную награду в размере 6 миллионов долларов. Деньги были присуждены этичному хакеру, известному как pwning.eth, после того, как он обнаружил уязвимость, которая позволил бы злоумышленникам чеканить бесконечный запас криптовалюты Ethereum в Aurora. двигатель.
Канадский гигант электронной коммерции Shopify, тем временем, побила свой собственный рекорд в 2021 году, когда выплаты за вознаграждение составили 1 миллион долларов. В том же году компания получила в общей сложности 3000 отчетов об ошибках от белых хакеров со всего мира. В ответ Shopify увеличил максимальную награду до 100 000 долларов.
Эти цифры могут показаться абсурдно высокими, но на самом деле они не идут ни в какое сравнение с суммами денег и данных, которые киберпреступники могли бы заработать, обнаружив уязвимости. Wormhole назначил вознаграждение за обнаружение ошибок в размере 10 миллионов долларов только после того, как потерял 320 миллионов долларов из-за взлома. Aurora Labs вознаградила хакера в белой шляпе, потому что 6 миллионов долларов меркнут по сравнению с потерей 240 миллионов долларов стоит ETH, в то время как Coinbase и Shopify, вероятно, сэкономили десятки миллионов, компенсируя усердные исследователи.
5 лучших высокооплачиваемых программ Bug Bounty
Поскольку компании на самом деле экономят кучу денег, организуя вознаграждение за ошибки, исследователи могут выбирать из множества вариантов. Если вы являетесь хакером в белой шляпе или хотели бы им стать, вот пять высокооплачиваемых программ вознаграждения за обнаружение ошибок.
Apple Security Bounty — одна из самых популярных программ по поиску ошибок в мире. Награды варьируются от 5000 долларов за обнаружение уязвимостей экрана блокировки до 2 миллионов долларов за дыры в безопасности, которые позволили бы злоумышленнику обойти Защита режима блокировки. Все, что вам нужно сделать, чтобы отправить отчет об ошибке (который должен быть тщательным и подробным), — это войти в систему, используя свой Apple ID.
Еще одна популярная программа поощрения за обнаружение ошибок находится в ведении Microsoft и предлагает широкий спектр вознаграждений. Как и программа Apple, программа Microsoft разделена на десятки различных категорий. Например, если вы обнаружите уязвимость в Microsoft. NET framework вы можете рассчитывать на оплату до 15 000 долларов. Но если вы обнаружите один в Microsoft Hyper-V, вы можете получить вознаграждение до 250 000 долларов.
Программа Samsung Rewards сосредоточена вокруг мобильных продуктов компании. Он имеет относительно строгие правила, поэтому внимательно прочитайте их, прежде чем отправлять сообщение об ошибке. Также обратите внимание, что инженеры компании учитывают только те ошибки, которые влияют на безопасность устройств Samsung. Награды варьируются от 200 до 200 000 долларов.
В программе вознаграждений Google Bug Hunters вознаграждение достигает 30 000 долларов. Охотники за ошибками, как часто называют белых хакеров, могут сообщать об ошибках в Gmail, YouTube, BlogSpot и других службах Google. У этой программы очень активное сообщество и собственный онлайн-университет, который может стать отличным ресурсом для начинающих исследователей.
Программа вознаграждений Meta охватывает Facebook, Instagram, WhatsApp, Messenger и множество других продуктов. Чтобы претендовать на вознаграждение (минимум 500 долларов США), вам необходимо найти уязвимости, представляющие угрозу безопасности или конфиденциальности, и соответствовать четко определенным требованиям. Все действительные отчеты получают ответ. Если несколько охотников обнаруживают одну и ту же проблему, вознаграждение получает тот, кто первым отправит отчет.
Программы Bug Bounty: лучшее из краудсорсинговой безопасности
Программы Bug Bounty представляют собой лучшее из краудсорсинговой безопасности. И от них выигрывают не только технологические компании и исследователи кибербезопасности — все, включая потребителей.
Для одних охота за жуками — хобби, а для других — полноценная карьера. Если вы попадаете в последнюю категорию или стремитесь к ней, есть множество онлайн-курсов, на которые стоит обратить внимание.
