Jump to content

Программа вознаграждения за ошибки

(Перенаправлено с Bug Bounty )

Программа вознаграждения за обнаружение ошибок — это сделка, предлагаемая многими веб-сайтами, организациями и разработчиками программного обеспечения, в рамках которой отдельные лица могут получить признание и компенсацию. [1] [2] для сообщения об ошибках , особенно связанных с системы безопасности эксплойтами и уязвимостями . [3]

Эти программы позволяют разработчикам обнаруживать и устранять ошибки до того, как о них узнает широкая общественность, предотвращая случаи широкомасштабного злоупотребления и утечки данных. Программы Bug Bounty реализованы большим количеством организаций, включая Mozilla , [4] [5] Фейсбук , [6] Yahoo! , [7] Google , [8] Реддит , [9] Квадрат , [10] Майкрософт , [11] [12] и награда за обнаружение ошибок в Интернете. [13]

Компании, не относящиеся к технологической отрасли, в том числе традиционно консервативные организации, такие как Министерство обороны США , начали использовать программы вознаграждения за обнаружение ошибок. [14] Использование Пентагоном программ вознаграждения за обнаружение ошибок является частью изменения позиции, в результате которого несколько правительственных агентств США изменили курс: от угроз хакерам в белых шляпах обращением в суд к приглашению их к участию в рамках комплексной системы или политики раскрытия уязвимостей. [15]

История

[ редактировать ]

Хантер и Риди инициировали первую известную программу вознаграждения за обнаружение ошибок в 1981 году для своей Versatile Real-Time Executive операционной системы . Любой, кто обнаружит ошибку и сообщит о ней, получит Volkswagen Beetle ( также известный как Bug). взамен [16]

10 октября 1995 года корпорация Netscape Communications запустила программу «Bugs Bounty» для бета- версии своего браузера Netscape Navigator 2.0. [17] [18] [19]

Споры о политике раскрытия уязвимостей

[ редактировать ]

В августе 2013 года палестинский студент-компьютерщик сообщил об уязвимости, которая позволяла любому публиковать видео в произвольной учетной записи Facebook. Согласно переписке по электронной почте между студентом и Facebook, он пытался сообщить об уязвимости, используя программу Facebook по вознаграждению за ошибки, но инженеры Facebook неправильно поняли студента. Позже он воспользовался уязвимостью, используя профиль Марка Цукерберга в Facebook , в результате чего Facebook отказался выплатить ему вознаграждение. [20]

Дебетовая карта Facebook «White Hat», которую выдавали исследователям, сообщившим об ошибках безопасности.

Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выпуская им дебетовые карты «White Hat», на которые можно пополнять средства каждый раз, когда исследователи обнаруживают новые недостатки. «Исследователи, которые находят ошибки и улучшения безопасности, редки, и мы ценим их и должны найти способы вознаградить их», — сказал CNET в интервью Райан МакГихан, бывший менеджер группы реагирования на безопасность Facebook. «Наличие этой эксклюзивной черной карты — еще один способ узнать их. Они могут появиться на конференции, показать эту карту и сказать: «Я проделал специальную работу для Facebook». [21] В 2014 году Facebook прекратил выдавать исследователям дебетовые карты. [ нужна ссылка ]

В 2016 году в Uber произошел инцидент с безопасностью, когда человек получил доступ к личной информации 57 миллионов пользователей Uber по всему миру. Предположительно, этот человек потребовал выкуп в размере 100 000 долларов США за то, чтобы уничтожить, а не опубликовать данные. В своих показаниях перед Конгрессом директор по информационной безопасности Uber указал, что компания подтвердила, что данные были уничтожены, прежде чем выплатить 100 000 долларов. [22] Г-н Флинн выразил сожаление по поводу того, что Uber не раскрыл инцидент в 2016 году. В рамках реагирования на этот инцидент Uber работал с партнером HackerOne над обновлением политики программы вознаграждения за ошибки, чтобы, среди прочего, более подробно объяснить добросовестное исследование уязвимостей и раскрытие. [23]

Yahoo! подвергся резкой критике за рассылку Yahoo! Футболки в качестве награды исследователям безопасности за обнаружение и сообщение об уязвимостях безопасности в Yahoo!, что привело к появлению так называемого T-shirt-gate . [24] High-Tech Bridge , швейцарская компания по тестированию безопасности, базирующаяся в Женеве, выпустила пресс-релиз, в котором говорится, что Yahoo! предлагал кредит в размере 12,50 долларов США за каждую уязвимость, который можно было использовать для оплаты товаров под брендом Yahoo, таких как футболки, чашки и ручки, из своего магазина. Рамсес Мартинес, директор службы безопасности Yahoo, заявил позже в своем блоге. [25] что он стоял за программой вознаграждения ваучерами и фактически платил за них из своего кармана. В конце концов, Yahoo! 31 октября того же года запустила новую программу вознаграждений за обнаружение ошибок, которая позволяет исследователям безопасности сообщать об ошибках и получать вознаграждение в размере от 250 до 15 000 долларов США, в зависимости от серьезности обнаруженной ошибки. [26]

Аналогичным образом, когда в 2013 году Ecava выпустила первую известную программу вознаграждения за обнаружение ошибок для ICS , [27] [28] их критиковали за то, что они предлагали магазинные кредиты вместо наличных, что не стимулировало исследователей в области безопасности. [29] Экава пояснил, что программа изначально задумывалась как ограничительная и ориентированная на безопасность пользователей IntegraX или SCADA , их программного обеспечения АСУ ТП. [27] [28]

Некоторые программы вознаграждения за обнаружение ошибок подвергались критике как инструменты, препятствующие исследователям безопасности публично раскрывать уязвимости, обуславливая участие в программах вознаграждения за обнаружение ошибок или даже предоставление « безопасной гавани » оскорбительными соглашениями о неразглашении . [30] [31]

География

[ редактировать ]

Хотя заявки на вознаграждение за обнаружение ошибок поступают из многих стран, некоторые страны, как правило, отправляют больше ошибок и получают больше вознаграждений. США . и Индия являются ведущими странами, из которых исследователи отправляют сообщения об ошибках [32] Индия, которая занимает первое или второе место в мире по количеству охотников за жуками, в зависимости от того, какой отчет цитируется, [33] возглавил программу Facebook Bug Bounty с наибольшим количеством действительных ошибок. [34] В 2017 году наибольшее количество действительных заявок в программу Facebook Whitehat было подано в Индии, за ней следовали США и Тринидад и Тобаго . [34]

Известные программы

[ редактировать ]

В октябре 2013 года Google объявил о серьезных изменениях в своей программе вознаграждений за уязвимости. Раньше это была программа вознаграждения за обнаружение ошибок, охватывающая многие продукты Google. Однако с этим сдвигом программа была расширена и теперь включает в себя набор бесплатных программных приложений и библиотек высокого риска , в первую очередь предназначенных для работы в сети или для низкоуровневых операционной системы функций . Заявки, которые Google сочтет соответствующими правилам, будут иметь право на вознаграждение в размере от 500 до 3133,70 долларов США. [35] [36] В 2017 году Google расширила свою программу, включив в нее покрытие уязвимостей, обнаруженных в приложениях, разработанных третьими сторонами и доступных через Google Play Store. [37] Программа вознаграждений за уязвимости Google теперь включает уязвимости, обнаруженные в продуктах Google, Google Cloud, Android и Chrome, и предусматривает вознаграждение до 31 337 долларов США. [38]

В ноябре 2013 года Microsoft и Facebook объединились, чтобы спонсировать The Internet Bug Bounty — программу, предусматривающую вознаграждение за сообщения о взломах и эксплойтах для широкого спектра интернет-программ. [39] В 2017 году GitHub и The Ford Foundation спонсировали инициативу, которой управляют волонтеры, в том числе из Uber, Microsoft, [40] Adobe, HackerOne, GitHub, NCC Group и Signal Sciences. [41] Программное обеспечение, охватываемое IBB, включает Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , Nginx , Apache HTTP Server и Phabricator . Кроме того, программа предлагала вознаграждение за более широкие эксплойты, затрагивающие широко используемые операционные системы и веб-браузеры , а также Интернет в целом. [42]

В марте 2016 года Питер Кук объявил о первой программе федерального правительства США по борьбе с ошибками — программе «Взломай Пентагон». [43] Программа проходила с 18 апреля по 12 мая, и более 1400 человек предоставили через HackerOne 138 уникальных действительных отчетов . Всего Министерство обороны США выплатило 71 200 долларов. [44]

В 2019 году Европейская комиссия объявила об инициативе EU-FOSSA 2 по вознаграждению за ошибки для популярных с открытым исходным кодом проектов , включая Drupal , Apache Tomcat , VLC , 7-zip и KeePass . Проект осуществлялся при совместной поддержке европейской платформы по поиску ошибок Intigriti и HackerOne, и в результате в общей сложности было обнаружено 195 уникальных и действительных уязвимостей. [45]

Open Bug Bounty — это программа коллективного вознаграждения за обнаружение ошибок, созданная в 2014 году. Она позволяет людям публиковать уязвимости безопасности веб-сайтов и веб-приложений в надежде на вознаграждение от пострадавших операторов веб-сайтов. [46]


См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «Отчет о хакерской безопасности: кто такие хакеры и почему они взламывают, стр. 23» (PDF) . ХакерУан. 2017 . Проверено 5 июня 2018 г.
  2. ^ Дин, Аарон Йи; Де Хесус, Джанлука Лимон; Янссен, Марин (2019). «Этический хакинг для повышения эффективности управления уязвимостями Интернета вещей» . Материалы Восьмой Международной конференции по телекоммуникациям и дистанционному зондированию . Ictrs '19. Родос, Греция: ACM Press. стр. 49–55. arXiv : 1909.11166 . дои : 10.1145/3357767.3357774 . ISBN  978-1-4503-7669-3 . S2CID   202676146 .
  3. ^ Веулен Краненбарг, Марлен; Холт, Томас Дж.; ван дер Хам, Йерун (19 ноября 2018 г.). «Не стреляйте в посланника! Криминологический и компьютерный взгляд на скоординированное раскрытие уязвимостей» . Криминология . 7 (1): 16. дои : 10.1186/s40163-018-0090-8 . ISSN   2193-7680 . S2CID   54080134 .
  4. ^ «Программа вознаграждения за обнаружение ошибок в безопасности Mozilla» . Мозилла . Проверено 9 июля 2017 г.
  5. ^ Ковач, Эдуард (12 мая 2017 г.). «Mozilla обновляет программу Bug Bounty» . Неделя Безопасности . Проверено 3 августа 2017 г.
  6. ^ «Информация о программе Meta Bug Bounty» . Фейсбук. нд . Проверено 17 октября 2023 г.
  7. ^ «Yahoo! Программа вознаграждения за ошибки» . ХакерУан . Проверено 11 марта 2014 г.
  8. ^ «Программа вознаграждения за оценку уязвимостей» . Проверено 11 марта 2014 г.
  9. ^ «Реддит — белая шляпа» . Реддит . Проверено 30 мая 2015 г.
  10. ^ «Программа вознаграждения за квадратные ошибки» . ХакерУан . Проверено 6 августа 2014 г.
  11. ^ «Программы вознаграждений Microsoft» . Баунти-программы Microsoft . Техцентр безопасности. Архивировано из оригинала 21 ноября 2013 года . Проверено 2 сентября 2016 г.
  12. ^ Циммерман, Стивен (26 июля 2017 г.). «Microsoft объявляет о программе вознаграждения за обнаружение ошибок в Windows и расширении программы вознаграждения за ошибки Hyper-V» . Разработчики XDA . Проверено 3 августа 2017 г.
  13. ^ ХакерУан. «Bug Bounty — программы Bug Bounty с открытым исходным кодом» . Проверено 23 марта 2020 г.
  14. ^ «Пентагон открылся для хакеров и исправил тысячи ошибок» . Проводной . 10 ноября 2017 г. Проверено 25 мая 2018 г.
  15. ^ «Структура программы раскрытия уязвимостей онлайн-систем» . Отдел кибербезопасности, Отдел компьютерных преступлений и интеллектуальной собственности, Отдел уголовных преступлений Министерства юстиции США. июль 2017 года . Проверено 25 мая 2018 г.
  16. ^ «Первая «баговая» баунти-программа» . Твиттер. 8 июля 2017 г. Проверено 5 июня 2018 г.
  17. ^ «Netscape объявляет о Netscape Bugs Bounty с выпуском netscape navigator 2.0» . Интернет-архив. Архивировано из оригинала 1 мая 1997 года . Проверено 21 января 2015 г.
  18. ^ «Баунти привлекают охотников за ошибками» . CNET . 13 июня 1997 года . Проверено 17 октября 2023 г.
  19. ^ Фриис-Йенсен, Эсбен (11 апреля 2014 г.). «История программ Bug Bounty» . Кобальт.io . Архивировано из оригинала 16 марта 2020 года . Проверено 17 октября 2023 г.
  20. ^ «Страница Цукерберга в Facebook была взломана, чтобы доказать наличие уязвимостей в системе безопасности» . Си-Эн-Эн. 20 августа 2013 года . Проверено 17 ноября 2019 г.
  21. ^ Миллс, Элинор. «Дебетовая карта Facebook whitehat» . CNET.
  22. ^ «Свидетельство Джона Флинна, директора по информационной безопасности Uber Technologies, Inc» (PDF) . Сенат США. 6 февраля 2018 г. . Проверено 4 июня 2018 г.
  23. ^ «Uber ужесточает политику вымогательства Bug Bounty» . Пост с угрозами. 27 апреля 2018 года . Проверено 4 июня 2018 г.
  24. ^ Осборн, Чарли. «Yahoo меняет политику вознаграждения за обнаружение ошибок после «ворота футболки» » . ЗДНет .
  25. ^ Мартинес, Рамзес. «Итак, я тот парень, который прислал футболку в знак благодарности» . Сеть разработчиков Yahoo . Проверено 2 октября 2013 г.
  26. ^ Мартинес, Рамзес. «Программа Bug Bounty уже запущена» . Сеть разработчиков Yahoo . Проверено 31 октября 2013 г.
  27. ^ Jump up to: а б Токер, Майкл (23 июля 2013 г.). «Подробнее о программе вознаграждения за ошибки IntegraXor» . Цифровая облигация . Проверено 21 мая 2019 г.
  28. ^ Jump up to: а б Рэган, Стив (18 июля 2013 г.). «Поставщик SCADA сталкивается с негативной реакцией общественности из-за программы вознаграждения за ошибки» . ОГО . Проверено 21 мая 2019 г.
  29. ^ Раши, Фахмида Ю. (16 июля 2013 г.). «Поставщик SCADA подвергся критике за «жалкую» программу вознаграждения за ошибки» . Неделя безопасности . Проверено 21 мая 2019 г.
  30. ^ «То, как Zoom справился с уязвимостями, показывает темную сторону вознаграждения за обнаружение ошибок» . ProPrivacy.com . Проверено 17 мая 2023 г.
  31. ^ Поруп, Дж. М. (2 апреля 2020 г.). «Платформы Bug Bounty покупают молчание исследователей и нарушают трудовое законодательство, говорят критики» . ЦСО онлайн . Проверено 17 мая 2023 г.
  32. ^ «Отчет хакеров за 2019 год» (PDF) . ХакерУан . Проверено 23 марта 2020 г.
  33. ^ «Охотников за ошибками много, но к белым хакерам в Индии мало уважения» . Фактор Дейли. 8 февраля 2018. Архивировано из оригинала 22 октября 2019 года . Проверено 4 июня 2018 г.
  34. ^ Jump up to: а б «Основные результаты Facebook Bug Bounty 2017: исследователям выплачено 880 000 долларов» . Фейсбук. 11 января 2018 года . Проверено 4 июня 2018 г.
  35. ^ Гудин, Дэн (9 октября 2013 г.). «Google предлагает денежные призы за обновления Linux и другого программного обеспечения ОС» . Арс Техника . Проверено 11 марта 2014 г.
  36. ^ Залевский, Михал (9 октября 2013 г.). «Выходя за рамки вознаграждения за уязвимость» . Блог Google по онлайн-безопасности . Проверено 11 марта 2014 г.
  37. ^ «Google запустил новую программу вознаграждений за обнаружение ошибок для устранения уязвимостей в сторонних приложениях в Google Play» . Грань. 22 октября 2017 года . Проверено 4 июня 2018 г.
  38. ^ «Программа вознаграждения за оценку уязвимостей» . Проверено 23 марта 2020 г.
  39. ^ Гудин, Дэн (6 ноября 2013 г.). «Теперь для всего Интернета действует программа вознаграждения за обнаружение ошибок» . Арс Техника . Проверено 11 марта 2014 г.
  40. ^ Абдулрида, Алаа (18 марта 2021 г.). «Как я взломал Facebook: Часть вторая» . инфобезопасность . Проверено 18 марта 2021 г.
  41. ^ «Facebook, GitHub и Фонд Форда жертвуют 300 000 долларов на программу поиска ошибок в интернет-инфраструктуре» . ВенчурБит. 21 июля 2017 года . Проверено 4 июня 2018 г.
  42. ^ «Награда за интернет-ошибки» . ХакерУан . Проверено 11 марта 2014 г.
  43. ^ «Министерство обороны приглашает проверенных специалистов «взломать» Пентагон» . МИНИСТЕРСТВО ОБОРОНЫ США . Проверено 21 июня 2016 г.
  44. ^ «Раскрытие уязвимостей для взлома Пентагона» . ХакерУан . Проверено 21 июня 2016 г.
  45. ^ «EU-FOSSA 2 — Обзор вознаграждений за обнаружение ошибок» (PDF) .
  46. ^ Дутта, Пайель (19 февраля 2018 г.). «Open Bug Bounty: 100 000 исправленных уязвимостей и ISO 29147» . Техчервь . Проверено 10 апреля 2023 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Bug_bounty_program&oldid=1237836149"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 08d96573880b5e14990c59690a46d33f__1722440340
URL1:https://arc.ask3.ru/arc/aa/08/3f/08d96573880b5e14990c59690a46d33f.html
Заголовок, (Title) документа по адресу, URL1:
Bug bounty program - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)