Sav softver ima pogreške ili nedostatke koji uzrokuju probleme. Oni se kreću od banalnih problema koji ne utječu na značajnije performanse softvera do ozbiljnih sigurnosnih propusta.
Bugove je teško uočiti, zbog čega mnoge tehnološke tvrtke imaju programe nagrađivanja za bugove. Ali što su zapravo bug bounty programi? Kako rade i kako pomažu u poboljšanju sigurnosti proizvoda?
Kako rade Bug Bounty programi
Tvrtke pokreću bug bounty programe kako bi ih potaknule hakeri s bijelim šeširom tražiti sigurnosne rupe i slične ranjivosti u softveru. Obično postoji više nego pristojna novčana nagrada za one koji otkriju grešku, ma koliko se prosječnoj osobi činila beznačajnom.
I nisu samo male tvrtke u usponu te koje imaju programe nagrađivanja grešaka. Zapravo, upravlja ih većina tehnoloških divova, uključujući Google, Microsoft, Facebook i Apple. Pojedinosti o tim programima obično se mogu pronaći na službenoj web stranici tvrtke. Češće nego ne, postoji nekoliko razina ili kategorija. Ali u principu, što je bug značajniji, to je nagrada veća.
Nakon što haker s bijelim šeširom otkrije grešku, podnosi detaljno izvješće o otkrivanju podataka u kojem objašnjava što je pronašao. Inženjeri tvrtke zatim pregledavaju i istražuju podnesak, a ako se otkrića istraživača pokažu točnima i korisnima, dobivaju obavijest i novčanu nagradu.
Ovaj sustav funkcionira i za tvrtke i za neovisne istraživače. Iz perspektive bilo koje tvrtke, bolje je da etički haker otkrije bug nego akter prijetnje, koji bi najvjerojatnije nastavio iskoristite ga prije nego što se popravi, potencijalno uzrokujući milijunske štete. Hakeri, s druge strane, zarađuju dobar dio sudjelujući u programima nagrada za bugove—neki čak zarađuju prihode s punim radnim vremenom otkrivajući ranjivosti softvera.
Primjeri Bug Bounty programa koji poboljšavaju sigurnost softvera
Dobro je znati kako bug bounty programi funkcioniraju u teoriji, ali pogledajmo nekoliko stvarnih primjera tvrtki koje isplaćuju goleme svote hakerima s bijelim šeširima.
U suradnji s bug bounty platformom Immunefi, decentralizirana blockchain bridge platforma Wormhole pokrenuo je u veljači 2022. program nagrađivanja koji nudi 10 milijuna dolara svakome tko otkrije kritični vrijednosni papir buba. Ubrzo je jedan haker s bijelim šeširom pod pseudonimom satya0x otkrio. Kao što je Immunefi objasnio u a Srednji objave, greška je mogla dovesti do zaključavanja sredstava korisnika, pa je satya0x dobio 10 milijuna dolara za njezino otkrivanje.
Također u veljači 2022., mjenjačnica kriptovaluta Coinbase platio nagradu od 250.000 dolara za bug bounty neovisnom istraživaču za otkrivanje velikog propusta u sučelju trgovanja platforme.
Aurora Labs, tvrtka koja stoji iza virtualnog stroja Aurora Ethereum (ETH), isplatila je veliku nagradu od 6 milijuna dolara u travnju 2022. Novac je dodijeljen etičkom hakeru poznatom kao pwning.eth, nakon što je otkrio ranjivost koja omogućio bi akterima prijetnji da iskuju beskonačne količine kriptovalute Ethereum u Aurori motor.
Kanadski div e-trgovine Shopify, u međuvremenu je oborio vlastiti rekord 2021., kada su njegove isplate nagrada iznosile milijun dolara. Te je godine tvrtka primila ukupno 3000 prijava bugova od hakera s bijelim šeširima diljem svijeta. Kao odgovor, Shopify je podigao maksimalnu nagradu na 100.000 dolara.
Ove se brojke mogu činiti apsurdno visokima, ali zapravo nisu u usporedbi s količinom novca i podataka koje bi kibernetički kriminalci inače mogli zaraditi otkrivanjem ranjivosti. Crvotočina je samo odredila nagradu za bug bounty od 10 milijuna dolara nakon što je izgubila 320 milijuna dolara zbog provale. Aurora Labs nagradila je hakera s bijelim šeširom jer je 6 milijuna dolara blijedo u usporedbi s gubitkom od 240 milijuna dolara vrijedan ETH, dok su Coinbase i Shopify vjerojatno uštedjeli desetke milijuna kompenzirajući marljive istraživači.
5 najboljih visokoplaćenih Bug Bounty programa
Budući da tvrtke zapravo štede gomilu novca postavljanjem programa nagrađivanja za bugove, istraživači mogu birati između niza opcija. Ako ste haker s bijelim šeširom ili biste to željeli postati, evo pet visokoplaćenih programa za dodjelu grešaka koje možete razmotriti.
Apple Security Bounty jedan je od najpopularnijih programa za dodjelu grešaka u svijetu. Nagrade se kreću od 5000 USD za otkrivanje ranjivosti zaključanog zaslona do 2 milijuna USD za sigurnosne rupe koje bi akteru prijetnje omogućile zaobilaženje Zaštite u načinu zaključavanja. Sve što trebate učiniti da biste podnijeli izvješće o bugu (koje mora biti temeljito i detaljno) jest prijaviti se svojim Apple ID-om.
Još jedan popularan program za dodjelu grešaka vodi Microsoft, a nudi širok raspon nagrada. Slično kao Appleov, Microsoftov program podijeljen je na desetke različitih kategorija. Na primjer, ako otkrijete ranjivost u Microsoft. NET okvira, možete očekivati isplatu do 15.000 USD. Ali ako otkrijete jedan u Microsoft Hyper-V, možete dobiti nagradu do 250.000 USD.
Program Samsung Rewards usmjeren je na mobilne proizvode tvrtke. Ima relativno stroga pravila, stoga ih svakako pažljivo pročitajte prije slanja buga. Također imajte na umu da inženjeri tvrtke uzimaju u obzir samo greške koje utječu na sigurnost Samsungovih uređaja. Nagrade se kreću između 200 i 200.000 dolara.
U Google Bug Hunters programu nagrada nagrade idu do 30.000 USD. Lovci na pogreške, kako se često nazivaju hakeri s bijelim šeširima, mogu prijaviti pogreške na Gmailu, YouTubeu, BlogSpotu i drugim Googleovim uslugama. Ovaj program ima vrlo aktivnu zajednicu i vlastito internetsko sveučilište, što može biti odličan izvor za istraživače početnike.
Metin bounty program pokriva Facebook, Instagram, WhatsApp, Messenger i niz drugih proizvoda. Da biste bili uzeti u obzir za nagradu (minimum je 500 USD), trebate pronaći ranjivosti koje predstavljaju sigurnosni ili rizik za privatnost i ispuniti jasno definirane zahtjeve. Sve važeće prijave dobivaju odgovor. Ako više lovaca uoči isti problem, nagrada se dodjeljuje osobi koja prva podnese izvješće.
Bug Bounty programi: Najbolje od Crowdsourced sigurnosti
Bug bounty programi predstavljaju najbolje od masovne sigurnosti. A od njih nemaju koristi samo tehnološke tvrtke i istraživači kibersigurnosti – svi imaju, uključujući potrošače.
Za neke je lov na bube hobi, a za druge puna karijera. Ako spadate u potonju kategoriju ili tome težite, postoji mnogo online tečajeva koje vrijedi pogledati.