Bug Bounty

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Программа Bug Bounty — это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления. В частности, программы Bug Bounty были реализованы компаниями Facebook,[1] Yahoo!,[2] Google,[3] Reddit,[4] Square, Apple и Microsoft.[5]

Изначально программа «Bug Bounty» была создана Джарреттом Ридлинхафером, когда он работал в Netscape Communications Corporation в качестве инженера технической поддержки. Корпорация поощряла своих сотрудников продвигаться по карьерной лестнице и делать все необходимое, чтобы работа была выполнена.

В начале 1996 года Джарретт Ридлинхафер придумал фразу и идею Bugs Bounty. Он осознавал, что в корпорации есть много энтузиастов и ИТ-евангелистов тех или иных продуктов, некоторые из которых ему даже казались фанатичными, особенно в отношении браузера Mosaic/Netscape/Mozilla. Он начал исследовать ситуацию более подробно и обнаружил, что большинство энтузиастов были на самом деле разработчиками программного обеспечения. Они исправляли ошибки продуктов самостоятельно и публиковали исправления или улучшения продуктов:

  • в новостных форумах, которые были созданы отделом технической поддержки компании Netscape для возможности «самопомощи через сотрудничество» (ещё одна из идей Ридлинхафера во время четырёхлетней работы в корпорации);
  • на неофициальном сайте «Netscape U-FAQ», где все известные ошибки и особенности браузера, а также инструкции относительно устранения ошибок и исправлений были включены в перечень.

Ридлинхафер посчитал, что компания должна использовать эти ресурсы, и написал предложение своему менеджеру о Netscape Bugs Bounty Program, а тот предложил Ридлинхаферу представить его на следующем исполнительном заседании компании.

На следующем исполнительном заседании, в котором приняли участие Джеймс Барксдейл, Марк Андриссен и вице-президенты всех отделов, включая разработку продукта, каждому члену была вручена копия предложения Netscape Bugs Bounty Program, и Ридлинхафер был приглашен представить свою идею топ-менеджменту Netscape.

Все присутствующие на собрании приняли идею, за исключением вице-президента инжиниринга, который не хотел двигаться вперед, считая это пустой тратой времени. Однако его мнение было отвергнуто, и Ридлинхаферу дали начальный бюджет 50 тыс. $, чтобы начать работу над своим предложением. Первая официальная программа Bugs Bounty была запущена в 1995 году.[6][7][8]

Программа имела настолько крупный успех, что она упоминается во многих книгах об успехах корпорации Netscape[источник не указан 649 дней].

В августе 2013 года студент факультета компьютерных наук по имени Халиль сообщил в Facebook об эксплойте, позволявшем любому пользователю разместить видео на чьём угодно аккаунте. Согласно его email-переписке, он пытался сообщить об уязвимости в рамках программы Bug Bounty Facebook, но сотрудники Facebook неверно его поняли. Позднее он сам воспользовался этим эксплойтом от лица главы Facebook Марка Цукерберга, поэтому ему отказали в вознаграждении.[9]

Дебетовая карта Facebook для «белых шляп», которая даётся исследователям, сообщающим об ошибке безопасности

Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выдавая им особые дебетовые карты «White Hat», на которые начисляются деньги всякий раз, когда исследователи находят новые недостатки и ошибки. «Исследователи, которые находят ошибки и возможности по улучшению системы безопасности, редки, и мы их ценим и должны вознаграждать их», — рассказал в интервью CNET Райан Макгихен, бывший менеджер Facebook по безопасности. «Наличие этой эксклюзивной чёрной карты — это ещё один способ признать их заслуги. Они могут на конференции показать эту карточку и сказать: я делал особую работу для Facebook».[10] В 2014 году Facebook прекратила выдачу дебетовых карт для исследователей.

Индия, которая занимает одно из первых мест в мире по количеству охотников на уязвимости,[11] возглавляет программу Bug Bounty Facebook по количеству найденных ошибок.

Компания Yahoo! была подвергнута жёсткой критике за рассылку футболок в награду для исследователей в области безопасности за обнаружение и сообщение об уязвимостях в Yahoo. Это событие стали называть T-shirt-gate («футболка-гейт»).[12] Компания по тестированию безопасности High-Tech Bridge (Женева, Швейцария) выпустила пресс-релиз, в котором говорилось, что Yahoo! предлагала за уязвимости кредит в 12,50 $, за которые можно было приобрести брендовые вещи, такие как футболки, чашки и ручки из магазина Yahoo. Рамзес Мартинес, директор Yahoo по информационной безопасности, заявил позже в своем блоге,[13] что он стоял за этой программой и фактически платил за них из собственного кармана. В итоге компания Yahoo! запустила новую программу Bug Bounty 31 октября того же года, позволявшую сообщать об уязвимостях и получать награды от 250 до 15 000 $, в зависимости от критичности обнаруженных ошибок.[14]

С похожей проблемой столкнулась компания Ecava, запустившая в 2013 году первую программу Bug Bounty для АСУ[15][16]. Она подверглась критике за то, что вместо реальных денег предлагала кредит в своём магазине, что не вызывало энтузиазма у исследователей[17]. По словам Ecava, программа с самого начала планировалась ограниченной и фокусировалась на безопасности пользователей их продукта IntegraXor SCADA[15][16].

Известные программы

[править | править код]

В октябре 2013 года компания Google анонсировала существенное изменение в свою программу вознаграждений для нашедших уязвимости. Раньше программа Bug Bounty охватывала многие продукты Google. Однако программа была расширена, чтобы включать ряд свободных приложений и библиотек с высоким риском, в первую очередь тех, которые предназначены для сетей или для функциональности низкоуровневой операционной системы. Отчёты, которые соответствуют нормативам Google, могут быть вознаграждены в пределах от 500 до 3133,70 $.[18][19]

Аналогичным образом компании Microsoft и Facebook объединились в ноябре 2013 года для спонсирования программы The Internet Bug Bounty, предлагающей награду за отчёты об уязвимостях и эксплойтах для широкого спектра программного обеспечения, связанного с Интернетом.[20] В 2017 году эту программу проспонсировали GitHub и фонд Форда; ею управляют волонтёры из Uber, Microsoft, Facebook, Adobe и HackerOne.[21] В ней участвуют такие продукты, как Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, nginx, Apache HTTP Server и Phabricator. Кроме того, в рамках программы предлагалась награда за выявление более широких уязвимостей, затрагивающих широко используемые операционные системы и веб-браузеры, а также Интернет в целом.[22]

В марте 2016 года Питер Кук объявил первую программу Bug Bounty федерального правительства США, Hack the Pentagon («Взломай Пентагон»).[23] Программа проходила с 18 апреля по 12 мая, и более 1400 человек подали 138 уникальных отчётов через HackerOne. В общей сложности Министерство обороны США выплатило 71 200 $.[24] В июне министр обороны Эш Картер встретился с двумя участниками, Дэвидом Дворкеном и Крейгом Арендом, чтобы поблагодарить их за участие в программе.[25]

Open Bug Bounty — коллективная программа Bug Bounty, запущенная в 2014 году и позволяющая сообщать об уязвимостях сайтов и веб-приложений в надежде на вознаграждение от их владельцев.

8 декабря 2020 года Казахстанская компания по предоставлению услуг кибербезопасности ОЮЛ «Центр анализа и расследования кибер атак» запустила Национальную площадку по выявлению уязвимостей BugBounty.kz. К платформе, помимо частных компаний, также были подключены информационные системы и ресурсы государственных органов. С момента запуска платформы по 28 октября 2021 года было получено 1039 отчетов об уязвимостях[источник не указан 649 дней]. За время функционирования платформы были выявлены уязвимости, которые приводили к утечке персональных данных из критически важных объектов информационно-коммуникационной инфраструктуры и перехвату управления системами жизнеобеспечения целого города[источник не указан 649 дней].

В 2021 году компания ООО Киберполигон анонсировала и запустила площадку BugBounty.ru, первую в РФ платформу для поиска уязвимостей и взаимодействия баг-хантеров и владельцев ресурсов[источник не указан 649 дней]. С момента запуска программы было выявлено несколько сотен уязвимостей, от незначительных до сверх-критичных[источник не указан 649 дней].

В 2022 году компания Positive Technologies представила[26] свою платформу The Standoff 365 Bug Bounty. Впервые исследователи безопасности на ней могут получать награду не только за обнаружение уязвимостей, но и за реализацию бизнес-рисков. За два месяца на платформе зарегистрировались более 900 исследователей безопасности[источник не указан 649 дней].

Примечания

[править | править код]
  1. Facebook Security. Facebook WhiteHat. Facebook (26 апреля 2014). Дата обращения: 11 марта 2014. Архивировано 29 января 2021 года.
  2. Yahoo! Bug Bounty Program. HackerOne. Дата обращения: 11 марта 2014. Архивировано 26 февраля 2018 года.
  3. «Vulnerability Assessment Reward Program». Дата обращения: 23 ноября 2016. Архивировано 11 марта 2014 года.
  4. «Reddit — whitehat». Дата обращения: 23 ноября 2016. Архивировано 12 апреля 2018 года.
  5. «Microsoft Bounty Programs» Архивировано 21 ноября 2013 года.
  6. «Netscape announces Netscape Bugs Bounty with relaase of nestscape navigator 2.0»
  7. «Cobalt Application Security Platform». Дата обращения: 23 ноября 2016. Архивировано 9 октября 2016 года.
  8. CenturyLink CenturyLinkVoice: Why Companies Like Pinterest Run Bug Bounty Programs Through The Cloud. Дата обращения: 30 июля 2016. Архивировано 12 апреля 2018 года.
  9. «Hacker posts Facebook bug report on Zuckerberg’s wall». Дата обращения: 23 ноября 2016. Архивировано 11 марта 2016 года.
  10. Whitehat, Facebook Facebook whitehat Debit card. CNET. Дата обращения: 2 февраля 2020. Архивировано 2 февраля 2020 года.
  11. Bug hunters aplenty but respect scarce for white hat hackers in India. Factor Daily (8 февраля 2018). Дата обращения: 4 июня 2018. Архивировано 22 октября 2019 года.
  12. T-shirt Gate, Yahoo! Yahoo! T-shirt gate. ZDNet. Дата обращения: 2 февраля 2020. Архивировано 28 сентября 2014 года.
  13. Bug Bounty, Yahoo! So I'm the guy who sent the t-shirt out as a thank you. Ramses Martinez. Дата обращения: 2 октября 2013. Архивировано 12 ноября 2020 года.
  14. BugBounty Program, Yahoo! Yahoo! launched its Bug Bounty Program. Ramses Martinez. Дата обращения: 31 октября 2013. Архивировано 2 февраля 2020 года.
  15. 1 2 Michael Toecker. More on IntegraXor's Bug Bounty Program. Digital Bond (23 июля 2013). Дата обращения: 21 мая 2019. Архивировано 27 мая 2019 года.
  16. 1 2 Steve Ragan. SCADA vendor faces public backlash over bug bounty program. CSO (18 июля 2013). Дата обращения: 21 мая 2019. Архивировано 27 июля 2020 года.
  17. Fahmida Y. Rashi. SCADA Vendor Bashed Over "Pathetic" Bug Bounty Program. Security Week (16 июля 2013). Дата обращения: 21 мая 2019. Архивировано 1 октября 2019 года.
  18. Goodin, Dan Google offers "leet" cash prizes for updates to Linux and other OS software. Ars Technica (9 октября 2013). Дата обращения: 11 марта 2014. Архивировано 12 марта 2016 года.
  19. Zalewski, Michal Going beyond vulnerability rewards. Google Online Security Blog (9 октября 2013). Дата обращения: 11 марта 2014. Архивировано 22 сентября 2015 года.
  20. Goodin, Dan Now there's a bug bounty program for the whole Internet. Ars Technica (6 ноября 2013). Дата обращения: 11 марта 2014. Архивировано 11 марта 2016 года.
  21. Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure. VentureBeat (21 июля 2017). Дата обращения: 4 июня 2018. Архивировано 2 февраля 2020 года.
  22. «The Internet Bug Bounty». Дата обращения: 23 ноября 2016. Архивировано 12 марта 2014 года.
  23. «DoD Invites Vetted Specialists to 'Hack' the Pentagon». Дата обращения: 23 ноября 2016. Архивировано из оригинала 13 марта 2016 года.
  24. «Vulnerability disclosure for Hack the Pentagon» Архивная копия от 11 апреля 2016 на Wayback Machine.
  25. «18-year-old hacker honored at Pentagon». Дата обращения: 23 ноября 2016. Архивировано 12 апреля 2018 года.
  26. Валерия Бунина (2022-05-19). "Positive Technologies наняла сотни хакеров для защиты российских компаний". gazeta.ru. Архивировано 25 июля 2022. Дата обращения: 25 июля 2022.