Программа вознаграждения за ошибки

Специальные предложения за сообщение об ошибках в программном обеспечении

Программа вознаграждения за ошибки — это сделка, предлагаемая многими веб-сайтами, организациями и разработчиками программного обеспечения, в рамках которой люди могут получить признание и компенсацию ^{[1] [2]} за сообщение об ошибках , особенно тех, которые относятся к эксплойтам и уязвимостям безопасности . ^[3]

Эти программы позволяют разработчикам обнаруживать и устранять ошибки до того, как о них узнает широкая общественность, предотвращая случаи широкомасштабного злоупотребления и утечки данных. Программы Bug Bounty реализованы большим количеством организаций, включая Mozilla , ^{[4] [5]} Facebook , ^[6] Yahoo! , ^[7] Google , ^[8] Reddit , ^[9] Square , ^[10] Microsoft , ^{[11] [12]} и вознаграждение за ошибки в Интернете. ^[13]

Компании, не относящиеся к технологической отрасли, в том числе традиционно консервативные организации, такие как Министерство обороны США , начали использовать программы вознаграждения за обнаружение ошибок. ^[14] Использование Пентагоном программ вознаграждения за обнаружение ошибок является частью изменения позиции, в результате которого несколько правительственных агентств США изменили курс: от угроз хакерам в белых шляпах обращением в суд к приглашению их к участию в рамках комплексной структуры или политики раскрытия уязвимостей. ^[15]

История

Хантер и Риди инициировали первую известную программу вознаграждения за обнаружение ошибок в 1981 году для своей операционной системы Versatile Real-Time Executive . Любой, кто обнаружит ошибку и сообщит об ошибке, получит взамен Volkswagen Beetle ( также известный как Bug). ^[16]

10 октября 1995 года корпорация Netscape Communications запустила программу «Bugs Bounty» для бета- версии своего браузера Netscape Navigator 2.0. ^{[17] [18] [19]}

Споры о политике раскрытия уязвимостей

В августе 2013 года палестинский студент-компьютерщик сообщил об уязвимости, которая позволяла любому публиковать видео в произвольной учетной записи Facebook. Согласно переписке по электронной почте между студентом и Facebook, он пытался сообщить об уязвимости, используя программу Facebook по вознаграждению за ошибки, но инженеры Facebook неправильно поняли студента. Позже он воспользовался уязвимостью, используя профиль Марка Цукерберга в Facebook , в результате чего Facebook отказался выплатить ему вознаграждение. ^[20]

Дебетовая карта Facebook «White Hat», которую выдавали исследователям, сообщавшим об ошибках безопасности.

Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выпуская им дебетовые карты «White Hat», на которые можно пополнять средства каждый раз, когда исследователи обнаруживают новые недостатки. «Исследователи, которые находят ошибки и улучшения безопасности, редки, и мы ценим их и должны найти способы вознаградить их», — сказал в интервью CNET Райан МакГихан, бывший менеджер группы реагирования на безопасность Facebook . «Наличие этой эксклюзивной черной карты — еще один способ узнать их. Они могут появиться на конференции, показать эту карту и сказать: «Я выполнил специальную работу для Facebook»» ^[21] . В 2014 году Facebook прекратил выдавать исследователям дебетовые карты. ^{[ нужна цитата ]}

В 2016 году в Uber произошел инцидент безопасности, когда человек получил доступ к личной информации 57 миллионов пользователей Uber по всему миру. Предположительно, этот человек потребовал выкуп в размере 100 000 долларов США за то, чтобы уничтожить, а не опубликовать данные. В своих показаниях перед Конгрессом директор по информационной безопасности Uber указал, что компания подтвердила, что данные были уничтожены, прежде чем выплатить 100 000 долларов. ^[22] Г-н Флинн выразил сожаление по поводу того, что Uber не раскрыл инцидент в 2016 году. В рамках реагирования на этот инцидент Uber работал с партнером HackerOne над обновлением политики программы вознаграждения за ошибки, чтобы, среди прочего, более подробно объяснить добросовестность. исследование и раскрытие уязвимостей. ^[23]

Yahoo! подвергся резкой критике за рассылку Yahoo! Футболки в качестве награды исследователям безопасности за обнаружение и сообщение об уязвимостях безопасности в Yahoo!, что привело к возникновению так называемого T-shirt-gate . ^[24] High-Tech Bridge , базирующаяся в Женеве, Швейцария, компания по тестированию безопасности, выпустила пресс-релиз, в котором говорится, что Yahoo! предлагал кредит в размере 12,50 долларов США за каждую уязвимость, который можно было использовать для оплаты товаров под брендом Yahoo, таких как футболки, чашки и ручки, из своего магазина. Рамсес Мартинес, директор службы безопасности Yahoo, позже заявил в своем блоге ^[25] , что он стоял за программой вознаграждения ваучерами и что, по сути, он платил за них из собственного кармана. В конце концов, Yahoo! 31 октября того же года запустила новую программу вознаграждений за обнаружение ошибок, которая позволяет исследователям безопасности сообщать об ошибках и получать вознаграждение от 250 до 15 000 долларов США, в зависимости от серьезности обнаруженной ошибки. ^[26]

Аналогичным образом, когда в 2013 году компания Ecava выпустила первую известную программу вознаграждения за обнаружение ошибок для ICS , ^{[27] [28]} ее раскритиковали за то, что она предлагала магазинные кредиты вместо наличных, что не стимулировало исследователей в области безопасности. ^[29] Экава пояснил, что программа изначально задумывалась как ограничительная и ориентированная на безопасность пользователей IntegraX или SCADA , их программного обеспечения АСУ ТП. ^{[27] [28]}

Некоторые программы вознаграждений за обнаружение ошибок подвергались критике как инструменты, препятствующие исследователям безопасности публично раскрывать уязвимости, обуславливая участие в программах вознаграждения за обнаружение ошибок или даже предоставление « безопасной гавани » неправомерными соглашениями о неразглашении . ^{[30] [31]}

География

Хотя заявки на вознаграждение за обнаружение ошибок поступают из многих стран, некоторые страны, как правило, отправляют больше ошибок и получают больше вознаграждений. США и Индия являются ведущими странами, из которых исследователи отправляют сообщения об ошибках . ^[32] Индия, которая занимает либо первое, либо второе место в мире по количеству охотников за ошибками, в зависимости от того, какой отчет цитируется, ^[33] возглавила программу Facebook Bug Bounty с наибольшим количеством действительных ошибок. ^[34] В 2017 году наибольшее количество действительных заявок в программу Facebook Whitehat было отправлено в Индии, за ней следовали США и Тринидад и Тобаго . ^[34]

Известные программы

В октябре 2013 года Google объявил о серьезных изменениях в своей программе вознаграждений за уязвимости. Раньше это была программа вознаграждения за обнаружение ошибок, охватывающая многие продукты Google. Однако с этим сдвигом программа была расширена и теперь включает набор бесплатных программных приложений и библиотек с высоким уровнем риска , в первую очередь предназначенных для работы в сети или для низкоуровневых функций операционной системы . Заявки, которые Google сочтет соответствующими правилам, будут иметь право на вознаграждение в размере от 500 до 3133,70 долларов США. ^{[35] [36]} В 2017 году Google расширила свою программу, включив в нее покрытие уязвимостей, обнаруженных в приложениях, разработанных третьими сторонами и доступных через Google Play Store. ^[37] Программа вознаграждений за уязвимости Google теперь включает уязвимости, обнаруженные в продуктах Google, Google Cloud, Android и Chrome, и предусматривает вознаграждение до 31 337 долларов США. ^[38]

В ноябре 2013 года Microsoft и Facebook объединились, чтобы спонсировать The Internet Bug Bounty — программу, предусматривающую вознаграждение за сообщения о взломах и эксплойтах для широкого спектра интернет-программ. ^[39] В 2017 году GitHub и The Ford Foundation спонсировали инициативу, которой управляют волонтеры, в том числе из Uber, Microsoft, ^[40] Adobe, HackerOne, GitHub, NCC Group и Signal Sciences. ^[41] Программное обеспечение, охватываемое IBB, включает Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , Nginx , Apache HTTP Server и Phabricator . Кроме того, программа предлагала вознаграждение за более широкие эксплойты, затрагивающие широко используемые операционные системы и веб-браузеры , а также Интернет в целом. ^[42]

В марте 2016 года Питер Кук объявил о первой программе федерального правительства США по борьбе с ошибками — программе «Взломай Пентагон». ^[43] Программа проходила с 18 апреля по 12 мая, и более 1400 человек предоставили через HackerOne 138 уникальных достоверных отчетов . Всего Министерство обороны США выплатило 71 200 долларов. ^[44]

В 2019 году Европейская комиссия объявила об инициативе EU-FOSSA 2 по вознаграждению за ошибки для популярных проектов с открытым исходным кодом , включая Drupal , Apache Tomcat , VLC , 7-zip и KeePass . Проект осуществлялся при совместной поддержке европейской платформы по поиску ошибок Intigriti и HackerOne, и в результате в общей сложности было обнаружено 195 уникальных и действительных уязвимостей. ^[45]

Open Bug Bounty — это программа коллективного вознаграждения за обнаружение ошибок, созданная в 2014 году. Она позволяет отдельным лицам публиковать сообщения об уязвимостях безопасности веб-сайтов и веб-приложений в надежде на вознаграждение от пострадавших операторов веб-сайтов. ^[46]

Смотрите также

• Охотник за головами
• Индустрия кибероружия
• Чек на вознаграждение Кнута (программа 1980 г.)
• Рынок эксплойтов нулевого дня
• Награда с открытым исходным кодом
• Белая шляпа (компьютерная безопасность)
• Зеродиум

Рекомендации

1. «Отчет о хакерской безопасности - Кто такие хакеры и почему они взламывают стр. 23» (PDF) . ХакерУан. 2017 . Проверено 5 июня 2018 г.
2. Дин, Аарон Йи; Де Хесус, Джанлука Лимон; Янссен, Марин (2019). «Этический хакинг для повышения эффективности управления уязвимостями Интернета вещей». Материалы Восьмой Международной конференции по телекоммуникациям и дистанционному зондированию . Ictrs '19. Родос, Греция: ACM Press. стр. 49–55. arXiv : 1909.11166 . дои : 10.1145/3357767.3357774. ISBN 978-1-4503-7669-3. S2CID  202676146.
3. Веулен Краненбарг, Марлен; Холт, Томас Дж.; ван дер Хам, Йерун (19 ноября 2018 г.). «Не стреляйте в посланника! Криминологический и компьютерный взгляд на скоординированное раскрытие уязвимостей». Криминология . 7 (1): 16. дои : 10.1186/s40163-018-0090-8 . ISSN  2193-7680. S2CID  54080134.
4. «Программа вознаграждения за ошибки в безопасности Mozilla» . Мозилла . Проверено 9 июля 2017 г.
5. Ковач, Эдуард (12 мая 2017 г.). «Mozilla обновляет программу вознаграждений за обнаружение ошибок» . Неделя безопасности . Проверено 3 августа 2017 г.
6. «Информация о программе Meta Bug Bounty» . Фейсбук. нд . Проверено 17 октября 2023 г.
7. "Yahoo! Программа вознаграждения за ошибки" . ХакерУан . Проверено 11 марта 2014 г.
8. «Программа вознаграждений за оценку уязвимостей» . Проверено 11 марта 2014 г.
9. "Reddit - белая шляпа" . Реддит . Проверено 30 мая 2015 г.
10. «Программа вознаграждения за квадратные ошибки» . ХакерУан . Проверено 6 августа 2014 г.
11. «Программы вознаграждений Microsoft» . Баунти-программы Microsoft . Техцентр безопасности. Архивировано из оригинала 21 ноября 2013 года . Проверено 2 сентября 2016 г.
12. Циммерман, Стивен (26 июля 2017 г.). «Microsoft объявляет о программе вознаграждений за обнаружение ошибок в Windows и расширении программы вознаграждений за ошибки Hyper-V» . Разработчики XDA . Проверено 3 августа 2017 г.
13. ХакерУан. «Bug Bounty — программы Bug Bounty с открытым исходным кодом» . Проверено 23 марта 2020 г.
14. «Пентагон открылся для хакеров и исправил тысячи ошибок» . Проводной . 10 ноября 2017 г. Проверено 25 мая 2018 г.
15. «Схема программы раскрытия уязвимостей для онлайн-систем» . Отдел кибербезопасности, Отдел компьютерных преступлений и интеллектуальной собственности, Отдел уголовных преступлений Министерства юстиции США. июль 2017 года . Проверено 25 мая 2018 г.
16. «Первая программа вознаграждений за ошибки» . Твиттер. 8 июля 2017 г. Проверено 5 июня 2018 г.
17. «Netscape объявляет о Netscape Bugs Bounty с выпуском netscape navigator 2.0» . Интернет-архив. Архивировано из оригинала 1 мая 1997 года . Проверено 21 января 2015 г.
18. «Баунти привлекает охотников за ошибками» . CNET . 13 июня 1997 года . Проверено 17 октября 2023 г.
19. Фриис-Йенсен, Эсбен (11 апреля 2014 г.). «История программ Bug Bounty». Кобальт.io . Архивировано из оригинала 16 марта 2020 года . Проверено 17 октября 2023 г.
20. «Страница Цукерберга в Facebook взломана, чтобы доказать наличие уязвимостей в системе безопасности» . Си-Эн-Эн. 20 августа 2013 года . Проверено 17 ноября 2019 г.
21. Миллс, Элинор. «Дебетовая карта Facebook Whitehat». CNET.
22. «Свидетельство Джона Флинна, директора по информационной безопасности Uber Technologies, Inc» (PDF) . Сенат США. 6 февраля 2018 г. . Проверено 4 июня 2018 г.
23. «Uber ужесточает политику вымогательства вознаграждений за ошибки» . Угроза пост. 27 апреля 2018 года . Проверено 4 июня 2018 г.
24. Осборн, Чарли. «Yahoo меняет политику вознаграждения за обнаружение ошибок после «ворота футболки»» . ЗДНет .
25. Мартинес, Рамзес. «Итак, я тот парень, который прислал футболку в знак благодарности». Сеть разработчиков Yahoo . Проверено 2 октября 2013 г.
26. Мартинес, Рамзес. «Программа Bug Bounty уже запущена». Сеть разработчиков Yahoo . Проверено 31 октября 2013 г.
27. Токер, Майкл (23 июля 2013 г.). «Подробнее о программе вознаграждения за ошибки IntegraXor». Цифровая облигация . Проверено 21 мая 2019 г.
28. Рэган, Стив (18 июля 2013 г.). «Поставщик SCADA сталкивается с негативной реакцией общественности из-за программы вознаграждения за ошибки» . ОГО . Проверено 21 мая 2019 г.
29. Раши, Фахмида Ю. (16 июля 2013 г.). «Поставщик SCADA подвергся критике из-за« жалкой »программы вознаграждения за ошибки» . Неделя безопасности . Проверено 21 мая 2019 г.
30. «То, как Zoom справился с уязвимостью, показывает темную сторону вознаграждения за обнаружение ошибок» . ProPrivacy.com . Проверено 17 мая 2023 г.
31. Поруп, Дж. М. (2 апреля 2020 г.). «Платформы Bug Bounty покупают молчание исследователей и нарушают трудовое законодательство, говорят критики». ЦСО онлайн . Проверено 17 мая 2023 г.
32. «Отчет хакеров за 2019 год» (PDF) . ХакерУан . Проверено 23 марта 2020 г.
33. «Охотников за ошибками много, но к хакерам в белых шляпах в Индии мало уважения» . Фактор Дейли. 8 февраля 2018. Архивировано из оригинала 22 октября 2019 года . Проверено 4 июня 2018 г.
34. «Основные результаты Facebook Bug Bounty 2017: исследователям выплачено 880 000 долларов» . Фейсбук. 11 января 2018 года . Проверено 4 июня 2018 г.
35. Гудин, Дэн (9 октября 2013 г.). «Google предлагает денежные призы за обновления Linux и другого программного обеспечения ОС». Арс Техника . Проверено 11 марта 2014 г.
36. Залевский, Михал (9 октября 2013 г.). «Выходя за рамки вознаграждения за уязвимость». Блог Google по онлайн-безопасности . Проверено 11 марта 2014 г.
37. «Google запустил новую программу вознаграждения за ошибки для устранения уязвимостей в сторонних приложениях в Google Play» . Грань. 22 октября 2017 года . Проверено 4 июня 2018 г.
38. «Программа вознаграждений за оценку уязвимостей» . Проверено 23 марта 2020 г.
39. Гудин, Дэн (6 ноября 2013 г.). «Теперь для всего Интернета действует программа вознаграждения за обнаружение ошибок». Арс Техника . Проверено 11 марта 2014 г.
40. Абдулридха, Алаа (18 марта 2021 г.). «Как я взломал Facebook: Часть вторая». инфобезопасность . Проверено 18 марта 2021 г.
41. «Facebook, GitHub и Фонд Форда жертвуют 300 000 долларов на программу поиска ошибок в интернет-инфраструктуре» . ВенчурБит. 21 июля 2017 года . Проверено 4 июня 2018 г.
42. "Награда за интернет-ошибки" . ХакерУан . Проверено 11 марта 2014 г.
43. «Министерство обороны приглашает проверенных специалистов «взломать» Пентагон» . МИНИСТЕРСТВО ОБОРОНЫ США . Проверено 21 июня 2016 г.
44. «Раскрытие уязвимостей для взлома Пентагона» . ХакерУан . Проверено 21 июня 2016 г.
45. «EU-FOSSA 2 — Обзор вознаграждений за обнаружение ошибок» (PDF) .
46. Датта, Пайель (19 февраля 2018 г.). «Open Bug Bounty: 100 000 исправленных уязвимостей и ISO 29147». Техчервь . Проверено 10 апреля 2023 г.