Bug Bounty
Программа Bug Bounty — это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления. В частности, программы Bug Bounty были реализованы компаниями Facebook,[1] Yahoo!,[2] Google,[3] Reddit,[4] Square, Apple и Microsoft.[5]
История
[править | править код]Изначально программа «Bug Bounty» была создана Джарреттом Ридлинхафером, когда он работал в Netscape Communications Corporation в качестве инженера технической поддержки. Корпорация поощряла своих сотрудников продвигаться по карьерной лестнице и делать все необходимое, чтобы работа была выполнена.
В начале 1996 года Джарретт Ридлинхафер придумал фразу и идею Bugs Bounty. Он осознавал, что в корпорации есть много энтузиастов и ИТ-евангелистов тех или иных продуктов, некоторые из которых ему даже казались фанатичными, особенно в отношении браузера Mosaic/Netscape/Mozilla. Он начал исследовать ситуацию более подробно и обнаружил, что большинство энтузиастов были на самом деле разработчиками программного обеспечения. Они исправляли ошибки продуктов самостоятельно и публиковали исправления или улучшения продуктов:
- в новостных форумах, которые были созданы отделом технической поддержки компании Netscape для возможности «самопомощи через сотрудничество» (ещё одна из идей Ридлинхафера во время четырёхлетней работы в корпорации);
- на неофициальном сайте «Netscape U-FAQ», где все известные ошибки и особенности браузера, а также инструкции относительно устранения ошибок и исправлений были включены в перечень.
Ридлинхафер посчитал, что компания должна использовать эти ресурсы, и написал предложение своему менеджеру о Netscape Bugs Bounty Program, а тот предложил Ридлинхаферу представить его на следующем исполнительном заседании компании.
На следующем исполнительном заседании, в котором приняли участие Джеймс Барксдейл, Марк Андриссен и вице-президенты всех отделов, включая разработку продукта, каждому члену была вручена копия предложения Netscape Bugs Bounty Program, и Ридлинхафер был приглашен представить свою идею топ-менеджменту Netscape.
Все присутствующие на собрании приняли идею, за исключением вице-президента инжиниринга, который не хотел двигаться вперед, считая это пустой тратой времени. Однако его мнение было отвергнуто, и Ридлинхаферу дали начальный бюджет 50 тыс. $, чтобы начать работу над своим предложением. Первая официальная программа Bugs Bounty была запущена в 1995 году.[6][7][8]
Программа имела настолько крупный успех, что она упоминается во многих книгах об успехах корпорации Netscape[источник не указан 649 дней].
Инциденты
[править | править код]В августе 2013 года студент факультета компьютерных наук по имени Халиль сообщил в Facebook об эксплойте, позволявшем любому пользователю разместить видео на чьём угодно аккаунте. Согласно его email-переписке, он пытался сообщить об уязвимости в рамках программы Bug Bounty Facebook, но сотрудники Facebook неверно его поняли. Позднее он сам воспользовался этим эксплойтом от лица главы Facebook Марка Цукерберга, поэтому ему отказали в вознаграждении.[9]
Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выдавая им особые дебетовые карты «White Hat», на которые начисляются деньги всякий раз, когда исследователи находят новые недостатки и ошибки. «Исследователи, которые находят ошибки и возможности по улучшению системы безопасности, редки, и мы их ценим и должны вознаграждать их», — рассказал в интервью CNET Райан Макгихен, бывший менеджер Facebook по безопасности. «Наличие этой эксклюзивной чёрной карты — это ещё один способ признать их заслуги. Они могут на конференции показать эту карточку и сказать: я делал особую работу для Facebook».[10] В 2014 году Facebook прекратила выдачу дебетовых карт для исследователей.
Индия, которая занимает одно из первых мест в мире по количеству охотников на уязвимости,[11] возглавляет программу Bug Bounty Facebook по количеству найденных ошибок.
Компания Yahoo! была подвергнута жёсткой критике за рассылку футболок в награду для исследователей в области безопасности за обнаружение и сообщение об уязвимостях в Yahoo. Это событие стали называть T-shirt-gate («футболка-гейт»).[12] Компания по тестированию безопасности High-Tech Bridge (Женева, Швейцария) выпустила пресс-релиз, в котором говорилось, что Yahoo! предлагала за уязвимости кредит в 12,50 $, за которые можно было приобрести брендовые вещи, такие как футболки, чашки и ручки из магазина Yahoo. Рамзес Мартинес, директор Yahoo по информационной безопасности, заявил позже в своем блоге,[13] что он стоял за этой программой и фактически платил за них из собственного кармана. В итоге компания Yahoo! запустила новую программу Bug Bounty 31 октября того же года, позволявшую сообщать об уязвимостях и получать награды от 250 до 15 000 $, в зависимости от критичности обнаруженных ошибок.[14]
С похожей проблемой столкнулась компания Ecava, запустившая в 2013 году первую программу Bug Bounty для АСУ[15][16]. Она подверглась критике за то, что вместо реальных денег предлагала кредит в своём магазине, что не вызывало энтузиазма у исследователей[17]. По словам Ecava, программа с самого начала планировалась ограниченной и фокусировалась на безопасности пользователей их продукта IntegraXor SCADA[15][16].
Известные программы
[править | править код]В октябре 2013 года компания Google анонсировала существенное изменение в свою программу вознаграждений для нашедших уязвимости. Раньше программа Bug Bounty охватывала многие продукты Google. Однако программа была расширена, чтобы включать ряд свободных приложений и библиотек с высоким риском, в первую очередь тех, которые предназначены для сетей или для функциональности низкоуровневой операционной системы. Отчёты, которые соответствуют нормативам Google, могут быть вознаграждены в пределах от 500 до 3133,70 $.[18][19]
Аналогичным образом компании Microsoft и Facebook объединились в ноябре 2013 года для спонсирования программы The Internet Bug Bounty, предлагающей награду за отчёты об уязвимостях и эксплойтах для широкого спектра программного обеспечения, связанного с Интернетом.[20] В 2017 году эту программу проспонсировали GitHub и фонд Форда; ею управляют волонтёры из Uber, Microsoft, Facebook, Adobe и HackerOne.[21] В ней участвуют такие продукты, как Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, nginx, Apache HTTP Server и Phabricator. Кроме того, в рамках программы предлагалась награда за выявление более широких уязвимостей, затрагивающих широко используемые операционные системы и веб-браузеры, а также Интернет в целом.[22]
В марте 2016 года Питер Кук объявил первую программу Bug Bounty федерального правительства США, Hack the Pentagon («Взломай Пентагон»).[23] Программа проходила с 18 апреля по 12 мая, и более 1400 человек подали 138 уникальных отчётов через HackerOne. В общей сложности Министерство обороны США выплатило 71 200 $.[24] В июне министр обороны Эш Картер встретился с двумя участниками, Дэвидом Дворкеном и Крейгом Арендом, чтобы поблагодарить их за участие в программе.[25]
Open Bug Bounty — коллективная программа Bug Bounty, запущенная в 2014 году и позволяющая сообщать об уязвимостях сайтов и веб-приложений в надежде на вознаграждение от их владельцев.
8 декабря 2020 года Казахстанская компания по предоставлению услуг кибербезопасности ОЮЛ «Центр анализа и расследования кибер атак» запустила Национальную площадку по выявлению уязвимостей BugBounty.kz. К платформе, помимо частных компаний, также были подключены информационные системы и ресурсы государственных органов. С момента запуска платформы по 28 октября 2021 года было получено 1039 отчетов об уязвимостях[источник не указан 649 дней]. За время функционирования платформы были выявлены уязвимости, которые приводили к утечке персональных данных из критически важных объектов информационно-коммуникационной инфраструктуры и перехвату управления системами жизнеобеспечения целого города[источник не указан 649 дней].
В 2021 году компания ООО Киберполигон анонсировала и запустила площадку BugBounty.ru, первую в РФ платформу для поиска уязвимостей и взаимодействия баг-хантеров и владельцев ресурсов[источник не указан 649 дней]. С момента запуска программы было выявлено несколько сотен уязвимостей, от незначительных до сверх-критичных[источник не указан 649 дней].
В 2022 году компания Positive Technologies представила[26] свою платформу The Standoff 365 Bug Bounty. Впервые исследователи безопасности на ней могут получать награду не только за обнаружение уязвимостей, но и за реализацию бизнес-рисков. За два месяца на платформе зарегистрировались более 900 исследователей безопасности[источник не указан 649 дней].
См. также
[править | править код]Примечания
[править | править код]- ↑ Facebook Security. Facebook WhiteHat . Facebook (26 апреля 2014). Дата обращения: 11 марта 2014. Архивировано 29 января 2021 года.
- ↑ Yahoo! Bug Bounty Program . HackerOne. Дата обращения: 11 марта 2014. Архивировано 26 февраля 2018 года.
- ↑ «Vulnerability Assessment Reward Program» . Дата обращения: 23 ноября 2016. Архивировано 11 марта 2014 года.
- ↑ «Reddit — whitehat» . Дата обращения: 23 ноября 2016. Архивировано 12 апреля 2018 года.
- ↑ «Microsoft Bounty Programs» Архивировано 21 ноября 2013 года.
- ↑ «Netscape announces Netscape Bugs Bounty with relaase of nestscape navigator 2.0»
- ↑ «Cobalt Application Security Platform» . Дата обращения: 23 ноября 2016. Архивировано 9 октября 2016 года.
- ↑ CenturyLink CenturyLinkVoice: Why Companies Like Pinterest Run Bug Bounty Programs Through The Cloud . Дата обращения: 30 июля 2016. Архивировано 12 апреля 2018 года.
- ↑ «Hacker posts Facebook bug report on Zuckerberg’s wall» . Дата обращения: 23 ноября 2016. Архивировано 11 марта 2016 года.
- ↑ Whitehat, Facebook Facebook whitehat Debit card . CNET. Дата обращения: 2 февраля 2020. Архивировано 2 февраля 2020 года.
- ↑ Bug hunters aplenty but respect scarce for white hat hackers in India . Factor Daily (8 февраля 2018). Дата обращения: 4 июня 2018. Архивировано 22 октября 2019 года.
- ↑ T-shirt Gate, Yahoo! Yahoo! T-shirt gate . ZDNet. Дата обращения: 2 февраля 2020. Архивировано 28 сентября 2014 года.
- ↑ Bug Bounty, Yahoo! So I'm the guy who sent the t-shirt out as a thank you . Ramses Martinez. Дата обращения: 2 октября 2013. Архивировано 12 ноября 2020 года.
- ↑ BugBounty Program, Yahoo! Yahoo! launched its Bug Bounty Program . Ramses Martinez. Дата обращения: 31 октября 2013. Архивировано 2 февраля 2020 года.
- ↑ 1 2 Michael Toecker. More on IntegraXor's Bug Bounty Program . Digital Bond (23 июля 2013). Дата обращения: 21 мая 2019. Архивировано 27 мая 2019 года.
- ↑ 1 2 Steve Ragan. SCADA vendor faces public backlash over bug bounty program . CSO (18 июля 2013). Дата обращения: 21 мая 2019. Архивировано 27 июля 2020 года.
- ↑ Fahmida Y. Rashi. SCADA Vendor Bashed Over "Pathetic" Bug Bounty Program . Security Week (16 июля 2013). Дата обращения: 21 мая 2019. Архивировано 1 октября 2019 года.
- ↑ Goodin, Dan Google offers "leet" cash prizes for updates to Linux and other OS software . Ars Technica (9 октября 2013). Дата обращения: 11 марта 2014. Архивировано 12 марта 2016 года.
- ↑ Zalewski, Michal Going beyond vulnerability rewards . Google Online Security Blog (9 октября 2013). Дата обращения: 11 марта 2014. Архивировано 22 сентября 2015 года.
- ↑ Goodin, Dan Now there's a bug bounty program for the whole Internet . Ars Technica (6 ноября 2013). Дата обращения: 11 марта 2014. Архивировано 11 марта 2016 года.
- ↑ Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure . VentureBeat (21 июля 2017). Дата обращения: 4 июня 2018. Архивировано 2 февраля 2020 года.
- ↑ «The Internet Bug Bounty» . Дата обращения: 23 ноября 2016. Архивировано 12 марта 2014 года.
- ↑ «DoD Invites Vetted Specialists to 'Hack' the Pentagon» . Дата обращения: 23 ноября 2016. Архивировано из оригинала 13 марта 2016 года.
- ↑ «Vulnerability disclosure for Hack the Pentagon» Архивная копия от 11 апреля 2016 на Wayback Machine.
- ↑ «18-year-old hacker honored at Pentagon» . Дата обращения: 23 ноября 2016. Архивировано 12 апреля 2018 года.
- ↑ Валерия Бунина (2022-05-19). "Positive Technologies наняла сотни хакеров для защиты российских компаний". gazeta.ru. Архивировано 25 июля 2022. Дата обращения: 25 июля 2022.
Ссылки
[править | править код]- Independent International List of Bug Bounty & Disclosure Programs
- Crowd Bug Bounty List
- The Internet Bug Bounty List
- AT&T Bug Bounty Program
- PayPal Inc Bug Bounty Program
- Facebook Whitehat Bug Bounty Program
- United Airlines Bug Bounty Program
- Google Vulnerability Reward Program
- Zerodium Premium Vulnerability Acquisition Program
- The History of Bug Bounty Programs
- Платформа № 1 в РФ для выплаты награды за обнаружение уязвимостей сервисов и приложений
- Национальная площадка по выявлению уязвимостей РК