Visa programinė įranga turi klaidų arba trūkumų, dėl kurių kyla problemų. Jie svyruoja nuo banalių problemų, kurios neturi jokios įtakos programinės įrangos veikimui, iki rimtų saugumo spragų.
Klaidas gali būti sunku pastebėti, todėl daugelis technologijų įmonių turi klaidų programas. Bet kas tiksliai yra klaidų programos? Kaip jie veikia ir kaip jie padeda pagerinti produkto saugumą?
Kaip veikia „Bug Bounty“ programos
Siekdamos paskatinti, įmonės pradeda klaidų programas baltų skrybėlių įsilaužėlių ieškoti saugumo spragų ir panašių programinės įrangos spragų. Paprastai tiems, kurie aptinka klaidą, skiriamas daugiau nei tinkamas piniginis prizas, kad ir kokia nereikšminga ji atrodytų paprastam žmogui.
Ir ne tik mažos, besivystančios įmonės turi klaidų kompensavimo programas. Tiesą sakant, dauguma technologijų gigantų juos valdo, įskaitant „Google“, „Microsoft“, „Facebook“ ir „Apple“. Išsamią informaciją apie šias programas paprastai galima rasti oficialioje įmonės svetainėje. Dažniausiai yra kelios pakopos arba kategorijos. Tačiau iš esmės kuo reikšmingesnė klaida, tuo didesnis atlygis.
Kai baltos kepurės įsilaužėlis aptinka klaidą, jis pateikia išsamią atskleidimo ataskaitą, paaiškinančią, ką rado. Tada įmonės inžinieriai peržiūri ir ištiria pareiškimą, o jei tyrėjo išvados pasirodo tikslios ir naudingos, jiems apie tai pranešama ir jie gauna piniginį atlygį.
Ši sistema tinka tiek įmonėms, tiek nepriklausomiems tyrėjams. Žvelgiant iš bet kurios įmonės perspektyvos, geriau, kad etiškas įsilaužėlis atras klaidą, nei grėsmės veikėjas, kuris greičiausiai toliau išnaudokite jį, kol jis nebus pataisytas, galintis sukelti milijoninę žalą. Kita vertus, įsilaužėliai, dalyvaudami klaidų kompensavimo programose, daro nemažą dalį pokyčių – kai kurie net uždirba visą darbo dieną, atradę programinės įrangos pažeidžiamumą.
„Bug Bounty“ programų, gerinančių programinės įrangos saugumą, pavyzdžiai
Verta žinoti, kaip teoriškai veikia klaidų kompensavimo programos, tačiau pažvelkime į kelis realius pavyzdžius, kai įmonės moka dideles sumas baltųjų skrybėlių įsilaužėliams.
Bendradarbiaujant su „Bug Bounty“ platforma „Immunefi“, decentralizuota „blockchain“ tilto platforma „Wormhole“ 2022 m. vasario mėn. pradėta premijų programa, siūlanti 10 mln. klaida. Netrukus baltos kepurės įsilaužėlis, naudojęs pseudonimą satya0x, tokį atrado. Kaip paaiškino Immunefi a Vidutinis paštu, dėl klaidos naudotojo lėšos galėjo būti užblokuotos, todėl satya0x už jos atskleidimą gavo 10 mln.
Taip pat 2022 metų vasario mėnesį kriptovaliutų birža Monetų bazė sumokėjo 250 000 USD premiją už klaidas nepriklausomam tyrėjui už tai, kad atrado pagrindinį platformos prekybos sąsajos trūkumą.
Aurora Labs2022 m. balandį sumokėjo didžiulę 6 milijonų JAV dolerių premiją. Pinigai buvo skirti etiškam įsilaužėliui, žinomam kaip pwning.eth, kai jis atrado pažeidžiamumą. būtų leidę grėsmės veikėjams nukalti begalinį Ethereum kriptovaliutos kiekį Aurora variklis.
Kanados elektroninės prekybos milžinas ShopifyTuo tarpu 2021 m. sumušė savo rekordą, kai jos premijos sudarė 1 mln. Tais metais bendrovė iš viso pasaulio gavo 3000 klaidų pranešimų iš baltųjų skrybėlių įsilaužėlių. Reaguodama į tai, Shopify padidino savo didžiausią premiją iki 100 000 USD.
Šie skaičiai gali atrodyti absurdiškai dideli, tačiau jie tikrai nėra lyginami su pinigų ir duomenų kiekiu, kuriuos kibernetiniai nusikaltėliai kitaip galėtų uždirbti atradę pažeidžiamumą. Wormhole nustatė tik 10 milijonų dolerių atlygį už klaidas po to, kai prarado 320 milijonų dolerių dėl pažeidimo. „Aurora Labs“ apdovanojo baltos skrybėlės įsilaužėlį, nes 6 milijonai dolerių nublanksta, palyginti su prarastais 240 milijonų dolerių vertės ETH, o „Coinbase“ ir „Shopify“ tikriausiai sutaupė dešimtis milijonų kompensuodamos rūpestingus tyrinėtojai.
5 geriausių daug apmokamų klaidų programų
Kadangi įmonės iš tikrųjų sutaupo daug pinigų, sukurdamos naudingas klaidų programas, mokslininkai gali rinktis iš daugybės galimybių. Jei atsitiktų, kad esate baltos kepurės įsilaužėlis arba norėtumėte juo tapti, čia yra penkios gerai apmokamos vabzdžių programos, į kurias reikia atsižvelgti.
„Apple Security Bounty“ yra viena iš populiariausių klaidų programų pasaulyje. Atlygis svyruoja nuo 5 000 USD už užrakinimo ekrano spragų atradimą iki 2 mln. USD už saugumo spragas, kurios leistų grėsmės veikėjui apeiti Užrakinimo režimo apsauga. Viskas, ką jums reikia padaryti, kad pateiktumėte pranešimą apie riktą (kuri turi būti nuodugni ir išsami), tai prisijungti naudojant savo Apple ID.
Kitą populiarią klaidų kompensavimo programą vykdo Microsoft, kuri siūlo platų atlygių spektrą. Panašiai kaip „Apple“, „Microsoft“ programa yra suskirstyta į daugybę skirtingų kategorijų. Pavyzdžiui, jei aptinkate Microsoft pažeidžiamumą. NET sistemą, galite tikėtis mokėjimo iki 15 000 USD. Bet jei atrasite vieną Microsoft Hyper-V, galite gauti iki 250 000 USD atlygį.
„Samsung“ apdovanojimų programa yra sutelkta į bendrovės mobiliuosius produktus. Tai gana griežta politika, todėl prieš pateikdami klaidą būtinai jas atidžiai perskaitykite. Taip pat atminkite, kad įmonės inžinieriai atsižvelgia tik į klaidas, kurios turi įtakos „Samsung“ įrenginių saugumui. Apdovanojimai svyruoja nuo 200 iki 200 000 USD.
„Google Bug Hunters“ premijų programoje atlygis siekia 30 000 USD. Klaidų medžiotojai, kaip dažnai vadinami baltųjų skrybėlių įsilaužėliai, gali pranešti apie klaidas „Gmail“, „YouTube“, „BlogSpot“ ir kitose „Google“ paslaugose. Ši programa turi labai aktyvią bendruomenę ir savo internetinį universitetą, kuris gali būti puikus šaltinis pradedantiesiems tyrinėtojams.
„Meta“ premijų programa apima „Facebook“, „Instagram“, „WhatsApp“, „Messenger“ ir daugybę kitų produktų. Kad galėtumėte gauti atlygį (minimalus dydis yra 500 USD), turite rasti pažeidžiamumą, kuris kelia pavojų saugumui ar privatumui ir atitinka aiškiai apibrėžtus reikalavimus. Į visas galiojančias ataskaitas gaunamas atsakymas. Jei tą pačią problemą pastebi keli medžiotojai, atlygis skiriamas pirmajam pranešimą pateikusiam asmeniui.
„Bug Bounty“ programos: geriausia „Crowdsourced“ sauga
Klaidų kompensavimo programos yra geriausias iš sutelktųjų šaltinių teikiamos saugos. Iš jų naudos gauna ne tik technologijų įmonės ir kibernetinio saugumo tyrinėtojai – tai daro visi, įskaitant vartotojus.
Vieniems vabzdžių medžioklė yra hobis, o kitiems – visavertė karjera. Jei patenkate į pastarąją kategoriją arba siekiate, yra daugybė internetinių kursų, į kuriuos verta atkreipti dėmesį.
