Minden szoftverben vannak hibák vagy hibák, amelyek problémákat okoznak. Ezek a banális problémáktól, amelyek semmilyen jelentős mértékben nem befolyásolják a szoftver teljesítményét, a súlyos biztonsági résekig terjednek.
A hibákat nehéz észrevenni, ezért sok technológiai vállalat rendelkezik hibajavító programokkal. De mik is pontosan a bug bounty programok? Hogyan működnek, és hogyan javítják a termék biztonságát?
Hogyan működnek a Bug Bounty programok
A vállalatok bug bounty programokat indítanak az ösztönzés érdekében fehér kalapos hackerek biztonsági rések és hasonló sérülékenységek keresése a szoftverekben. Általában több mint tisztességes pénzjutalom jár azoknak, akik felfedeznek egy hibát, bármilyen jelentéktelennek is tűnik az átlagember számára.
És nem csak a kis, feltörekvő cégeknek van hibaprogramja. Valójában a legtöbb technológiai óriás üzemelteti őket, köztük a Google, a Microsoft, a Facebook és az Apple. Ezekről a programokról általában a vállalat hivatalos weboldalán lehet tájékozódni. Leggyakrabban több szint vagy kategória létezik. De elvileg minél jelentősebb egy hiba, annál nagyobb a jutalom.
Amint egy fehérkalapos hacker hibát fedez fel, részletes közzétételi jelentést nyújt be, amelyben elmagyarázza, mit talált. A cég mérnökei ezt követően felülvizsgálják és kivizsgálják a beadványt, és ha a kutató megállapításai pontosnak és hasznosnak bizonyulnak, értesítik őket, és pénzjutalomban részesülnek.
Ez a rendszer cégek és független kutatók számára egyaránt működik. Bármely cég szemszögéből nézve, jobb, ha egy etikus hacker felfedez egy hibát, mint egy fenyegetőző, aki nagy valószínűséggel folytatja használja ki, mielőtt kijavítanámilliós károkat okozhat. A hackerek ezzel szemben jelentős változtatásokat hajtanak végre a hibajavító programokban – egyesek még teljes munkaidős bevételre is szert tehetnek a szoftver sebezhetőségeinek felfedezésével.
Példák a szoftverbiztonságot javító Bug Bounty programokra
Jó tudni, hogy elméletben hogyan működnek a bug bounty programok, de nézzünk meg néhány valós példát arra vonatkozóan, hogy a cégek hatalmas összegeket fizetnek ki a white hat hackereknek.
Az Immunefi bug bounty platformmal együttműködve a Wormhole decentralizált blokklánc-híd platform 2022 februárjában elindított egy jutalomprogramot, amely 10 millió dollárt kínál mindenkinek, aki kritikus értékpapírt fedez fel bogár. Nemsokára egy fehérkalapos hacker, a satya0x álnevet használva felfedezett egyet. Ahogy az Immunefi kifejtette a Közepes bejegyzés után a hiba a felhasználói pénzek zárolásához vezethetett, így a satya0x 10 millió dollárt kapott a nyilvánosságra hozataláért.
Szintén 2022 februárjában a kriptovaluta tőzsde Coinbase 250 000 dolláros hibadíjat fizetett egy független kutatónak, amiért felfedezte a platform kereskedési felületének jelentős hibáját.
Aurora Labs, az Aurora Ethereum (ETH) virtuális gép mögött álló vállalat 2022 áprilisában hatalmas 6 millió dolláros jutalmat fizetett ki. A pénzt a pwning.eth néven ismert etikus hackernek ítélték oda, miután felfedezett egy biztonsági rést, lehetővé tette volna a fenyegetés szereplői számára, hogy végtelen mennyiségű Ethereum kriptovalutát verjenek az Aurórán motor.
A kanadai e-kereskedelmi óriás Shopifyeközben 2021-ben megdöntötte saját rekordját, amikor a jutalmak összesen 1 millió dollárt tettek ki. Abban az évben a vállalat összesen 3000 hibajelentést kapott fehér kalapos hackerektől a világ minden tájáról. Válaszul a Shopify 100 000 dollárra emelte a maximális jutalmat.
Ezek a számok abszurd magasnak tűnhetnek, de valójában nem hasonlítanak ahhoz a pénz- és adatmennyiséghez, amelyet a kiberbűnözők egyébként kereshetnének a sebezhetőségek felfedezésével. A Wormhole csak 10 millió dolláros bug jutalmat tűzött ki, miután 320 millió dollárt veszített egy szabálysértés miatt. Az Aurora Labs megjutalmazott egy fehérkalapos hackert, mert 6 millió dollár elhalványul a 240 millió dollár elvesztésével szemben ETH értékű, míg a Coinbase és a Shopify valószínűleg tízmilliókat spórolt meg a szorgalmas kárpótlással kutatók.
Az 5 legjobban fizető bug bounty program
Mivel a vállalatok valójában rengeteg pénzt takarítanak meg azzal, hogy jutalmazó hibaprogramokat indítanak, a kutatók számos lehetőség közül választhatnak. Ha véletlenül fehér kalapos hacker vagy, vagy szeretne azzá válni, íme öt jól fizető hibaprogram, amelyet érdemes megfontolni.
Az Apple Security Bounty a világ egyik legnépszerűbb hibajavító programja. A jutalom 5000 dollártól a zárolási képernyő sebezhetőségeinek felfedezéséért és 2 millió dollárig terjed a biztonsági résekért, amelyek lehetővé teszik a fenyegetések megkerülését. Lockdown mód védelmek. A hibajelentés elküldéséhez (amelynek alaposnak és részletesnek kell lennie) mindössze be kell jelentkeznie Apple ID-jával.
Egy másik népszerű bug-bounty programot a Microsoft futtat, amely jutalmak széles skáláját kínálja. Az Apple programjához hasonlóan a Microsoft programja is több tucat különböző kategóriába sorolható. Például, ha a Microsoft biztonsági rését fedezi fel. NET keretrendszerben akár 15 000 dollár kifizetésére is számíthat. De ha felfedez egyet benne Microsoft Hyper-V, akár 250 000 dolláros jutalmat is kaphat.
A Samsung Rewards Program középpontjában a vállalat mobiltermékei állnak. Viszonylag szigorú szabályzatai vannak, ezért gondosan olvassa el őket, mielőtt hibát küldene. Azt is vegye figyelembe, hogy a vállalat mérnökei csak azokat a hibákat veszik figyelembe, amelyek hatással vannak a Samsung készülékek biztonságára. A jutalmak 200 és 200 000 dollár között mozognak.
A Google Bug Hunters fejpénzprogramban a jutalmak elérik a 30 000 dollárt. A hibavadászok, ahogyan a white hat hackereket gyakran emlegetik, jelenthetik a hibákat a Gmailben, a YouTube-ban, a BlogSpotban és más Google-szolgáltatásokban. Ennek a programnak nagyon aktív közössége és saját online egyeteme van, ami remek forrás lehet a kezdő kutatók számára.
A Meta jutalomprogramja kiterjed a Facebookra, az Instagramra, a WhatsApp-ra, a Messengerre és egy csomó egyéb termékre. A jutalom megszerzéséhez (a minimum 500 USD) meg kell találnia azokat a sebezhetőségeket, amelyek biztonsági vagy adatvédelmi kockázatot jelentenek, és megfelelnek az egyértelműen meghatározott követelményeknek. Minden érvényes jelentésre választ kapnak. Ha több vadász is észreveszi ugyanazt a problémát, a jutalmat az elsőként bejelentő kapja.
Bug Bounty programok: A csoportosított biztonság legjobbjai
A bug bounty programok a közösségi forrásból származó biztonság legjavát képviselik. És nem csak a technológiai cégek és a kiberbiztonsági kutatók profitálnak belőlük – mindenki, beleértve a fogyasztókat is.
Egyesek számára a poloskavadászat hobbi, másoknak pedig teljes értékű karrier. Ha az utóbbi kategóriába tartozik, vagy arra törekszik, rengeteg online tanfolyamot érdemes megnézni.
