Программа вознаграждения за обнаруженные ошибки

Предложения по сообщению об ошибках программного обеспечения

Программа вознаграждения за обнаруженные ошибки — это предложение, предлагаемое многими веб-сайтами, организациями и разработчиками программного обеспечения, в рамках которого отдельные лица могут получить признание и компенсацию ^{[1] [2]} за сообщение об ошибках , особенно тех, которые касаются уязвимостей и уязвимостей безопасности . ^[3]

Эти программы позволяют разработчикам обнаруживать и устранять ошибки до того, как о них узнает широкая общественность, предотвращая случаи широкомасштабного злоупотребления и утечки данных. Программы вознаграждения за ошибки были реализованы большим количеством организаций, включая Mozilla , ^{[4] [5]} Facebook , ^[6] Yahoo!, [ ^7] Google , ^[8] Reddit , ^[9] Square , ^[10] Microsoft , ^{[11] [12]} и Internet bug bounty. ^[13]

Компании за пределами технологической отрасли, включая традиционно консервативные организации, такие как Министерство обороны США , начали использовать программы вознаграждения за обнаружение уязвимостей. ^[14] Использование Пентагоном программ вознаграждения за обнаружение уязвимостей является частью изменения позиции, в результате которого несколько правительственных агентств США отказались от угроз «белым хакерам» юридическими средствами и стали приглашать их к участию в рамках всеобъемлющей структуры или политики раскрытия уязвимостей. ^[15]

История

Hunter и Ready инициировали первую известную программу вознаграждения за ошибки в 1981 году для своей операционной системы Versatile Real-Time Executive . Любой, кто находил и сообщал об ошибке, получал взамен Volkswagen Beetle ( он же Bug). ^[16]

10 октября 1995 года корпорация Netscape Communications запустила программу «Bugs Bounty» для бета- версии своего браузера Netscape Navigator 2.0. ^{[17] [18] [19]}

Противоречие политики раскрытия информации об уязвимостях

В августе 2013 года палестинский студент-компьютерщик сообщил об уязвимости, которая позволяла любому человеку публиковать видео на произвольной учетной записи Facebook. Согласно электронной переписке между студентом и Facebook, он пытался сообщить об уязвимости, используя программу вознаграждения за ошибки Facebook, но инженеры Facebook неправильно поняли студента. Позже он воспользовался уязвимостью, используя профиль Марка Цукерберга в Facebook , в результате чего Facebook отказался выплачивать ему вознаграждение. ^[20]

Дебетовая карта Facebook «White Hat», которая выдавалась исследователям, сообщавшим об ошибках безопасности

Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выпуская им фирменные дебетовые карты «White Hat», которые можно пополнять средствами каждый раз, когда исследователи обнаруживают новые уязвимости. «Исследователи, которые находят ошибки и улучшения безопасности, редки, и мы ценим их и должны найти способы вознаградить их», — сказал Райан Макгихан, бывший менеджер группы реагирования на проблемы безопасности Facebook, в интервью CNET . «Наличие этой эксклюзивной черной карты — еще один способ их распознать. Они могут появиться на конференции, показать эту карту и сказать: «Я сделал специальную работу для Facebook». ^[21] В 2014 году Facebook прекратил выдавать исследователям дебетовые карты. ^{[ требуется цитата ]}

В 2016 году Uber столкнулся с инцидентом безопасности, когда некто получил доступ к личной информации 57 миллионов пользователей Uber по всему миру. Предположительно, этот человек потребовал выкуп в размере 100 000 долларов США за уничтожение данных, а не их публикацию. В показаниях в Конгрессе директор по информационной безопасности Uber указал, что компания проверила факт уничтожения данных, прежде чем платить 100 000 долларов США. ^[22] Г-н Флинн выразил сожаление, что Uber не раскрыла инцидент в 2016 году. В рамках своего ответа на этот инцидент Uber работала с партнером HackerOne над обновлением своей политики программы вознаграждений за обнаружение ошибок, чтобы, среди прочего, более подробно объяснить добросовестное исследование уязвимостей и раскрытие информации. ^[23]

Yahoo! подверглась резкой критике за отправку футболок Yahoo! в качестве вознаграждения исследователям безопасности за обнаружение и сообщение об уязвимостях безопасности в Yahoo!, что вызвало то, что стало называться T-shirt-gate . ^[24] High-Tech Bridge , женевская, швейцарская компания по тестированию безопасности, выпустила пресс-релиз, в котором говорилось, что Yahoo! предлагает 12,50 долларов США в качестве кредита за уязвимость, который может быть использован для покупки товаров с брендом Yahoo, таких как футболки, чашки и ручки из ее магазина. Рамзес Мартинес, директор группы безопасности Yahoo, позже заявил в сообщении в блоге ^[25] , что он стоял за программой вознаграждения ваучерами и что он, по сути, платил за них из своего кармана. В конце концов, 31 октября того же года Yahoo! запустила свою новую программу вознаграждений за ошибки, которая позволяет исследователям безопасности сообщать об ошибках и получать вознаграждение от 250 до 15 000 долларов США в зависимости от серьезности обнаруженной ошибки. ^[26]

Аналогично, когда Ecava выпустила первую известную программу вознаграждения за ошибки для ICS в 2013 году, ^{[27] [28]} их критиковали за то, что они предлагали кредиты вместо наличных, что не стимулирует исследователей безопасности. ^[29] Ecava объяснила, что изначально программа была задумана как ограничительная и была сосредоточена на перспективе безопасности человека для пользователей IntegraXor SCADA , их программного обеспечения ICS. ^{[27] [28]}

Некоторые программы вознаграждения за обнаружение ошибок подвергались критике как инструменты, препятствующие исследователям безопасности публично раскрывать уязвимости, обуславливая участие в программах вознаграждения за обнаружение ошибок или даже предоставление убежища неправомерными соглашениями о неразглашении . ^{[30] [31]}

География

Хотя заявки на bug bounty поступают из многих стран, несколько стран, как правило, отправляют больше ошибок и получают больше вознаграждений. Соединенные Штаты и Индия являются основными странами, из которых исследователи отправляют ошибки. ^[32] Индия, которая имеет либо первое, либо второе по величине количество охотников за ошибками в мире, в зависимости от того, какой отчет цитируется, ^[33] возглавила программу Facebook Bug Bounty с наибольшим количеством действительных ошибок. ^[34] В 2017 году у Индии было наибольшее количество действительных заявок в программу Whitehat Facebook, за ней следуют Соединенные Штаты и Тринидад и Тобаго . ^[34]

Известные программы

В октябре 2013 года Google объявила о серьезных изменениях в своей Программе вознаграждений за уязвимости. Ранее это была программа вознаграждений за ошибки, охватывающая многие продукты Google. Однако с изменением программа была расширена и теперь включает в себя ряд высокорисковых бесплатных программных приложений и библиотек , в первую очередь тех, которые предназначены для работы в сети или для низкоуровневой функциональности операционной системы . Заявки, которые Google посчитает соответствующими рекомендациям, будут иметь право на вознаграждение в размере от 500 до 3 133,70 долларов США. ^{[35] [36]} В 2017 году Google расширила свою программу, чтобы охватить уязвимости, обнаруженные в приложениях, разработанных сторонними организациями и размещенных в магазине Google Play. ^[37] Программа вознаграждений за уязвимости Google теперь включает уязвимости, обнаруженные в продуктах Google, Google Cloud, Android и Chrome, и вознаграждение до 31 337 долларов США. ^[38]

Microsoft и Facebook объединились в ноябре 2013 года для спонсорства The Internet Bug Bounty, программы, предлагающей вознаграждения за сообщения о взломах и эксплойтах для широкого спектра программного обеспечения, связанного с Интернетом. ^[39] В 2017 году GitHub и Фонд Форда спонсировали инициативу, которой управляют волонтеры, в том числе из Uber, Microsoft, ^[40] Adobe, HackerOne, GitHub, NCC Group и Signal Sciences. ^[41] Программное обеспечение, охватываемое IBB, включает Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , Nginx , Apache HTTP Server и Phabricator . Кроме того, программа предлагала вознаграждения за более широкие эксплойты, затрагивающие широко используемые операционные системы и веб-браузеры , а также Интернет в целом. ^[42]

В марте 2016 года Питер Кук объявил о первой программе вознаграждения за обнаружение уязвимостей федерального правительства США, программе «Взломать Пентагон». ^[43] Программа действовала с 18 апреля по 12 мая, и более 1400 человек отправили 138 уникальных действительных отчетов через HackerOne . В общей сложности Министерство обороны США выплатило 71 200 долларов. ^[44]

В 2019 году Европейская комиссия объявила о начале инициативы EU-FOSSA 2 bug bounty для популярных проектов с открытым исходным кодом , включая Drupal , Apache Tomcat , VLC , 7-zip и KeePass . Проект был совместно организован европейской платформой bug bounty Intigriti и HackerOne и привел к обнаружению в общей сложности 195 уникальных и действительных уязвимостей. ^[45]

Open Bug Bounty — это коллективная программа вознаграждения за обнаружение уязвимостей в сфере безопасности, созданная в 2014 году. Она позволяет отдельным лицам публиковать информацию об уязвимостях веб-сайтов и веб-приложений в надежде получить вознаграждение от операторов затронутых веб-сайтов. ^[46]

Смотрите также

• Охотник за головами
• Кибероружейная индустрия
• Чек вознаграждения Кнута (Программа 1980 г.)
• Рынок эксплойтов нулевого дня
• Вознаграждение за открытый исходный код
• Белая шляпа (компьютерная безопасность)
• Зеродий

Ссылки

1. «Отчет о безопасности, созданный хакерами. Кто такие хакеры и почему они занимаются хакерством, стр. 23» (PDF) . HackerOne. 2017. Получено 5 июня 2018 г.
2. Ding, Aaron Yi; De Jesus, Gianluca Limon; Janssen, Marijn (2019). «Этический взлом для повышения уровня управления уязвимостями IoT». Труды Восьмой международной конференции по телекоммуникациям и дистанционному зондированию . Ictrs '19. Родос, Греция: ACM Press. стр. 49–55. arXiv : 1909.11166 . doi :10.1145/3357767.3357774. ISBN 978-1-4503-7669-3. S2CID  202676146.
3. Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen (19 ноября 2018 г.). «Не стреляйте в посланника! Криминологическая и компьютерная точка зрения на скоординированное раскрытие уязвимостей». Crime Science . 7 (1): 16. doi : 10.1186/s40163-018-0090-8 . ISSN  2193-7680. S2CID  54080134.
4. "Программа вознаграждения за обнаружение ошибок безопасности Mozilla". Mozilla . Получено 9 июля 2017 г. .
5. Kovacs, Eduard (12 мая 2017 г.). "Mozilla Revamps Bug Bounty Program". SecurityWeek . Получено 3 августа 2017 г. .
6. "Информация о программе Meta Bug Bounty". Facebook. nd . Получено 17 октября 2023 г.
7. "Yahoo! Bug Bounty Program". HackerOne . Получено 11 марта 2014 г.
8. "Программа вознаграждения за оценку уязвимости" . Получено 11 марта 2014 г.
9. "Reddit - whitehat". Reddit . Получено 30 мая 2015 г. .
10. "Программа вознаграждения за ошибки Square". HackerOne . Получено 6 августа 2014 г.
11. "Microsoft Bounty Programs". Microsoft Bounty Programs . Security TechCenter. Архивировано из оригинала 21 ноября 2013 г. Получено 2 сентября 2016 г.
12. Циммерман, Стивен (26 июля 2017 г.). «Microsoft объявляет о программе Windows Bug Bounty и расширении программы Hyper-V Bounty». XDA Developers . Получено 3 августа 2017 г.
13. HackerOne. "Bug Bounties - Программы вознаграждения за обнаружение ошибок с открытым исходным кодом" . Получено 23 марта 2020 г.
14. «Пентагон открылся для хакеров — и исправил тысячи ошибок». Wired . 10 ноября 2017 г. Получено 25 мая 2018 г.
15. «Структура программы раскрытия уязвимостей для онлайн-систем». Подразделение кибербезопасности, Секция компьютерных преступлений и интеллектуальной собственности, Уголовный отдел Министерства юстиции США. Июль 2017 г. Получено 25 мая 2018 г.
16. "Первая программа вознаграждения за "ошибки"". Twitter. 8 июля 2017 г. Получено 5 июня 2018 г.
17. "Netscape объявляет о программе Netscape Bugs Bounty с выпуском Netscape Navigator 2.0". Архив Интернета. Архивировано из оригинала 1 мая 1997 года . Получено 21 января 2015 года .
18. "Bounty привлекает исследователей ошибок". CNET . 13 июня 1997 г. Получено 17 октября 2023 г.
19. Фриис-Йенсен, Эсбен (11 апреля 2014 г.). «История программ вознаграждения за ошибки». Cobalt.io . Архивировано из оригинала 16 марта 2020 г. . Получено 17 октября 2023 г. .
20. «Страница Цукерберга в Facebook взломана, чтобы доказать уязвимость системы безопасности». CNN. 20 августа 2013 г. Получено 17 ноября 2019 г.
21. Миллс, Элинор. «Facebook whitehat дебетовая карта». CNET.
22. «Показания Джона Флинна, директора по информационной безопасности Uber Technologies, Inc» (PDF) . Сенат США. 6 февраля 2018 г. . Получено 4 июня 2018 г. .
23. «Uber ужесточает политику вымогательства вознаграждений за ошибки». Угроза. 27 апреля 2018 г. Получено 4 июня 2018 г.
24. Осборн, Чарли. «Yahoo меняет политику вознаграждения за обнаруженные ошибки после „футболки“». ZDNet .
25. Мартинес, Рамзес. «Итак, я тот парень, который отправил футболку в знак благодарности». Yahoo Developer Network . Получено 2 октября 2013 г.
26. Мартинес, Рамзес. «Программа Bug Bounty уже запущена». Yahoo Developer Network . Получено 31 октября 2013 г.
27. Toecker, Michael (23 июля 2013 г.). «Подробнее о программе Bug Bounty компании IntegraXor». Digital Bond . Получено 21 мая 2019 г. .
28. Ragan, Steve (18 июля 2013 г.). «Поставщик SCADA сталкивается с общественной реакцией на программу вознаграждения за обнаружение ошибок». CSO . Получено 21 мая 2019 г. .
29. Раши, Фахмида Й. (16 июля 2013 г.). «Поставщик SCADA подвергся критике за «жалкую» программу вознаграждения за обнаружение уязвимостей». Security Week . Получено 21 мая 2019 г.
30. «Как Zoom справился с уязвимостью, показывает темную сторону программы bug bounty». ProPrivacy.com . Получено 17 мая 2023 г.
31. Porup, JM (2 апреля 2020 г.). «Платформы вознаграждения за обнаружение ошибок покупают молчание исследователей, нарушая трудовое законодательство, говорят критики». CSO Online . Получено 17 мая 2023 г.
32. "The 2019 Hacker Report" (PDF) . HackerOne . Получено 23 марта 2020 г. .
33. «Охотников за ошибками в Индии много, но белых хакеров мало уважают». Factor Daily. 8 февраля 2018 г. Архивировано из оригинала 22 октября 2019 г. Получено 4 июня 2018 г.
34. "Основные моменты Facebook Bug Bounty 2017: $880,000 выплачено исследователям". Facebook. 11 января 2018 г. Получено 4 июня 2018 г.
35. Гудин, Дэн (9 октября 2013 г.). «Google предлагает «leet» денежные призы за обновления Linux и другого программного обеспечения ОС». Ars Technica . Получено 11 марта 2014 г.
36. Залевски, Михал (9 октября 2013 г.). «Выход за рамки вознаграждения за уязвимость». Блог Google Online Security . Получено 11 марта 2014 г.
37. "Google запустила новую программу вознаграждений за ошибки, чтобы устранить уязвимости в сторонних приложениях в Google Play". The Verge. 22 октября 2017 г. Получено 4 июня 2018 г.
38. "Программа вознаграждения за оценку уязвимости" . Получено 23 марта 2020 г.
39. Гудин, Дэн (6 ноября 2013 г.). «Теперь есть программа вознаграждения за ошибки для всего Интернета». Ars Technica . Получено 11 марта 2014 г.
40. Абдулридха, Алаа (18 марта 2021 г.). «Как я взломал Facebook: Часть вторая». infosecwriteups . Получено 18 марта 2021 г. .
41. "Facebook, GitHub и Фонд Форда жертвуют 300 000 долларов на программу вознаграждения за обнаружение уязвимостей для интернет-инфраструктуры". VentureBeat. 21 июля 2017 г. Получено 4 июня 2018 г.
42. "The Internet Bug Bounty". HackerOne . Получено 11 марта 2014 г.
43. "DoD Invites Vetted Specialists to 'Hack' the Pentagon". МИНИСТЕРСТВО ОБОРОНЫ США . Получено 21 июня 2016 г.
44. "Раскрытие уязвимости для взлома Пентагона". HackerOne . Получено 21 июня 2016 г.
45. «EU-FOSSA 2 — Обзор вознаграждений за обнаружение ошибок» (PDF) .
46. Дутта, Пайел (19 февраля 2018 г.). «Open Bug Bounty: 100 000 исправленных уязвимостей и ISO 29147». TechWorm . Получено 10 апреля 2023 г.