Bug Bounty — Вікіпедія

Програма Bug Bounty (англ. bug — баг: жаргонізм, що означає помилку в системі; англ. bounty — подарунок, премія, щедрість) — програма, яку пропонують багато вебсайтів та розробників програмного забезпечення, за допомогою якої люди можуть отримати визнання і винагороду за находження помилок, особливо тих, які стосуються експлойтів і вразливостей. Це дозволяє розробникам усунути помилки, перш ніж широка громадськість і хакери дізнаються про них, запобігаючи випадкам масових зловживань. Програми Bug bounty були реалізовані в компаніях Mozilla[1][2], Facebook[3], Yahoo![4], Google[5], Reddit[6], Square[7] і Microsoft[8].

Історія[ред. | ред. код]

Вперше програму «Bug Bounty» організував Джарретт Рідлінхафер, коли працював у Netscape Communications Corporation інженером технічної підтримки.

Корпорація заохочувала своїх співробітників, щоб просувати їх і робити все необхідне, щоб отримати роботу і, на початку 1996 року, Джаррет Рідлінхафер надихнувся ідеєю і придумав фразу, 'Bugs Bounty'.

Він усвідомлював, що в корпорації є багато ентузіастів і ІТ-євангелістів для своїх продуктів, деякі з яких йому навіть здавалися, фанатичними, особливо Mosaic / Netscape / Mozilla браузер. Він почав досліджувати ситуацію більш детально і виявив, що більшість ентузіастів були насправді розробниками програмного забезпечення. Вони виправляли помилки продуктів самостійно і публікували виправлення або поліпшення продуктів:

  • в новинних форумах, які були створені відділом технічної підтримки компанії Netscape для можливості «самодопомоги через співпрацю» (ще одна з ідей Рідлінхафера під час чотирирічної роботи в корпорації); або
  • на неофіційному «Netscape U-FAQ» сайті, де кожна відома помилка і особливість браузера були включені в перелік, а також інструкції щодо усунення помилок і виправлень.

Рідлінхафер думав, що компанія повинна використовувати ці ресурси і написав пропозицію своєму менеджеру про 'Netscape Bugs Bounty Program', який, в свою чергу, запропонував Рідлінхаферу представити її на наступному виконавчому засіданні компанії.

На наступному виконавчому засіданні, в якому брали участь Джеймс Барксдейл, Марк Андрессен і віце-президенти кожного відділу із своїм продуктом, кожному члену була вручена копія пропозиції 'Netscape Bugs Bounty Program' і Рідлінхафер був запрошений представити свою ідею Виконавчій команді Netscape.

Всі присутні на зборах прийняли ідею, за винятком віце-президента інженерії, який не хотів рухатися вперед, вважаючи це марною тратою часу. Однак, віце-президент по інженерії був відкинутий і Рідлінхаферу дали початковий бюджет $50 тис., щоб почати роботу зі своєю пропозицією і перша офіційна 'Bugs Bounty' програма була запущена в 1995 році[9][10][11].

Програма мала настільки величезний успіх, що це згадується в багатьох книгах про успіхи Netscape корпорації.

Інциденти[ред. | ред. код]

У серпні 2013 роки студент факультету комп'ютерних наук на ім'я Халіль використовував експлойт, щоб відправити лист на стіну Facebook засновника сайту Марка Цукерберга. За словами хакера, він намагався повідомити про уразливість, використовуючи програму bug bounty для Facebook, але через розпливчасті і неповні звіти, команда сказала йому, що його вразливість була помилкою[12].

Дебетова картка Facebook «Білий капелюх», яка надається дослідникам, які повідомляють про помилки безпеки

Facebook почали платити дослідникам, які знаходять і повідомляють про помилки безпеки, випускаючи на замовлення під маркою «White Hat» дебетові карти, на які можуть бути завантажені кошти кожен раз, коли дослідники знаходять нові недоліки і помилки. «Дослідники, які знаходять помилки і можливості щодо поліпшення системи безпеки, рідкісні, і ми їх цінуємо і повинні винагороджувати їх»,- Райан Макгіхан, колишній менеджер Facebook з безпеки, група реагування, повідомляє сайт CNET в інтерв'ю. "Наявність цієї ексклюзивної чорної карти — це ще один спосіб знайти їх. Вони можуть на конференції показати цю картку і сказати: «Я зробив спеціальну роботу для Facebook»[13]. У 2014 році Facebook припинила видачу дебетових карт для дослідників.

Індія, яка посідає друге місце в світі за кількістю мисливців за уразливостями[14], очолює програму Bug Bounty Facebook по знаходженню найбільшої кількості помилок. «Дослідники Росії заробили найбільшу суму з доповіді 2013 року, отримавши в середньому $ 3,961 за 38 помилок. Індія внесла вклад за найбільшу кількість знайдених помилок 136, в середньому винагорода склала $ 1,353. США повідомили про 92 помилки, в середньому винагорода склала $ 2,272. Бразилія і Велика Британія стали третьою і четвертою країною за обсягом, 53 і 40 помилок, відповідно, і середнє винагородження в розмірі $ 3,792 і $ 2,950», Facebook процитувала в пості[15].

Компанія Yahoo! була піддана жорсткій критиці за розсилку футболок як нагороду для дослідників в галузі безпеки за виявлення і повідомлення про уразливість в Yahoo!, стали називати T-shirt-gate[16]. High-Tech Bridge, в Женеві, Швейцарії — система безпеки, на основі тестування компанія випустила прес-реліз, в якому говорилося, що Yahoo! запропонувала $12.50 в кредит на уразливості, які можуть бути використані до компанії Yahoo — брендові речі, такі як футболки, чашки і ручки з магазину. Рамзес Мартінес, директор Yahoo з інформаційної безпеки заявив пізніше в своєму блозі, що він був за ваучер нагороди, і що він фактично платив за них з власної кишені[17]. Зрештою, Компанія Yahoo! запустила свою нову програму Bug Bounty 31 жовтня того ж року, що дозволяє дослідникам безпеки уявити помилки і отримувати нагороди від 250 і $15,000, в залежності від важливості виявлених помилок[18].

Відомі програми[ред. | ред. код]

У жовтні 2013 року компанія Google анонсувала суттєві зміни в їх програму винагород для білих капелюхів. Раніше програма bug bounty охоплювала багато продуктів Google. Однак, програма була розширена, щоб включати вибір високого ризику вільного програмного забезпечення додатків і бібліотек, в першу чергу тих, які призначені для мереж або для функціональності низькорівневої операційної системи. Хакери матимуть право на отримання винагороди в межах від $500 до $ 3133,70[19][20].

Аналогічним чином, компанії Microsoft і Facebook об'єдналися в листопаді 2013 року спонсорувати в мережі Bug Bounty програми, щоб запропонувати нагороду за звітні хакі і експлойти для широкого спектора програмного забезпечення, пов'язаного з Інтернетом[21]. Програмне забезпечення яке розповсюджується IBB (Internet Business Bureau) включає в себе Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server і Phabricator. Крім того, в рамках програми пропонується нагорода за ширші помилки, що зачіпають операційні системи і веббраузери, а також Інтернет в цілому[22].

У березні 2016 року, Пітер Кук оголосив першу програму bug bounty федерального уряду, «зламати Пентагон»[23]. Програма проходила з 18 квітня по 12 травня і понад 1400 осіб подали 138 унікальних звітів через HackerOne. Загалом, Міністерство оборони США виплатило $ 71,200[24]. У червні, міністр оборони Еш Картер, зустрівся з двома учасниками, Девідом Дворкеном і Крейгом Арендом, щоб подякувати їм за їх участь в програмі[25].

Див. також[ред. | ред. код]

Примітки[ред. | ред. код]

  1. Mozilla Security Bug Bounty Program. Mozilla (амер.). Архів оригіналу за 21 липня 2018. Процитовано 11 квітня 2018. 
  2. Mozilla Revamps Bug Bounty Program | SecurityWeek.Com. www.securityweek.com (англ.). Архів оригіналу за 12 квітня 2018. Процитовано 11 квітня 2018. 
  3. Facebook. www.facebook.com (укр.). Архів оригіналу за 1 серпня 2018. Процитовано 11 квітня 2018. 
  4. Vulnerability disclosure for Yahoo!. HackerOne (англ.). Архів оригіналу за 26 лютого 2018. Процитовано 11 квітня 2018. 
  5. Program Rules – Application Security – Google. www.google.com (англ.). Архів оригіналу за 11 березня 2014. Процитовано 11 квітня 2018. 
  6. whitehat - reddit.com. www.reddit.com (укр.). Архів оригіналу за 12 квітня 2018. Процитовано 11 квітня 2018. 
  7. Vulnerability disclosure for Square. HackerOne (англ.). Архів оригіналу за 1 серпня 2018. Процитовано 11 квітня 2018. 
  8. Microsoft Announces Windows Bug Bounty Program and Extension of Hyper-V Bounty Program. xda-developers (амер.). 26 липня 2017. Архів оригіналу за 27 липня 2017. Процитовано 11 квітня 2018. 
  9. Press Release. 1 травня 1997. Архів оригіналу за 1 травня 1997. Процитовано 11 квітня 2018. 
  10. The History of Bug Bounty Programs – Cobalt.io. Cobalt.io. 11 квітня 2014. Процитовано 11 квітня 2018. [недоступне посилання]
  11. Richey, Erin. CenturyLinkVoice: Why Companies Like Pinterest Run Bug Bounty Programs Through The Cloud. Forbes (англ.). Архів оригіналу за 12 квітня 2018. Процитовано 11 квітня 2018. 
  12. Hacker posts Facebook bug report on Zuckerberg’s wall. RT International (амер.). Архів оригіналу за 12 квітня 2018. Процитовано 11 квітня 2018. 
  13. Facebook hands out White Hat debit cards to hackers. CNET (англ.). 31 грудня 2011. Архів оригіналу за 26 лютого 2018. Процитовано 11 квітня 2018. 
  14. dna Special: Indians are world's top bug bounty hunters | Latest News & Updates at Daily News & Analysis. dna (амер.). 4 вересня 2013. Архів оригіналу за 24 вересня 2015. Процитовано 11 квітня 2018. 
  15. Bug Bounty Highlights and Updates. www.facebook.com (укр.). Архів оригіналу за 11 листопада 2020. Процитовано 11 квітня 2018. 
  16. Osborne, Charlie. Yahoo changes bug bounty policy following 't-shirt gate' | ZDNet. ZDNet (англ.). Архів оригіналу за 19 червня 2017. Процитовано 11 квітня 2018. 
  17. So I’m the guy who sent the t-shirt out as a thank you.. Yahoo Developer Network. Архів оригіналу за 18 квітня 2018. Процитовано 11 квітня 2018. 
  18. The Bug Bounty Program is Now Live. Yahoo Developer Network. Архів оригіналу за 21 грудня 2019. Процитовано 11 квітня 2018. 
  19. Google offers “leet” cash prizes for updates to Linux and other OS software. Ars Technica (en-us). Архів оригіналу за 15 червня 2018. Процитовано 11 квітня 2018. 
  20. Going beyond vulnerability rewards. Google Online Security Blog (амер.). Архів оригіналу за 28 травня 2018. Процитовано 11 квітня 2018. 
  21. Now there’s a bug bounty program for the whole Internet. Ars Technica (en-us). Архів оригіналу за 8 вересня 2017. Процитовано 11 квітня 2018. 
  22. Open Source Hacking - A Bug Bounty Program for Core Internet - HackerOne. HackerOne (англ.). Архів оригіналу за 30 березня 2018. Процитовано 11 квітня 2018. 
  23. DoD Invites Vetted Specialists to ‘Hack’ the Pentagon. U.S. DEPARTMENT OF DEFENSE (амер.). Архів оригіналу за 12 квітня 2018. Процитовано 11 квітня 2018. 
  24. Hack The Pentagon - A Department of Defense Vulnerability Program. HackerOne (англ.). Архів оригіналу за 2 липня 2017. Процитовано 11 квітня 2018. 
  25. 18-year-old hacker honored at Pentagon. Stars and Stripes. Архів оригіналу за 12 квітня 2018. Процитовано 11 квітня 2018. 

Посилання[ред. | ред. код]