Visai programmatūrai ir kļūdas vai trūkumi, kas rada problēmas. Tās svārstās no banālām problēmām, kas nekādi būtiski neietekmē programmatūras veiktspēju, līdz nopietnām drošības ievainojamībām.
Kļūdas var būt grūti pamanāmas, tāpēc daudziem tehnoloģiju uzņēmumiem ir kļūdu novēršanas programmas. Bet kas īsti ir kļūdu atlīdzības programmas? Kā tie darbojas un kā tie palīdz uzlabot produkta drošību?
Kā darbojas Bug Bounty programmas
Uzņēmumi uzsāk kļūdu novēršanas programmas, lai stimulētu balto cepuru hakeri lai meklētu programmatūras drošības caurumus un līdzīgas ievainojamības. Parasti tiem, kas atklāj kļūdu, tiek piešķirta vairāk nekā pienācīga naudas balva neatkarīgi no tā, cik nenozīmīga tā šķiet vidusmēra cilvēkam.
Un ne tikai maziem, topošiem uzņēmumiem ir kļūdu novēršanas programmas. Faktiski tos pārvalda lielākā daļa tehnoloģiju gigantu, tostarp Google, Microsoft, Facebook un Apple. Sīkāku informāciju par šīm programmām parasti var atrast uzņēmuma oficiālajā tīmekļa vietnē. Biežāk nekā nē, ir vairāki līmeņi vai kategorijas. Bet principā, jo nozīmīgāka ir kļūda, jo lielāka ir atlīdzība.
Kad baltās cepures hakeris atklāj kļūdu, viņš iesniedz detalizētu informācijas atklāšanas ziņojumu, paskaidrojot, ko viņi ir atraduši. Pēc tam uzņēmuma inženieri izskata un izmeklē iesniegumu, un, ja pētnieka atklājumi izrādās precīzi un noderīgi, viņi tiek informēti un saņem naudas atlīdzību.
Šī sistēma darbojas gan uzņēmumiem, gan neatkarīgiem pētniekiem. Raugoties no jebkura uzņēmuma perspektīvas, ir labāk, ja ētisks hakeris atklāj kļūdu, nevis apdraudētājs, kurš, visticamāk, turpinās izmantojiet to, pirms tas ir izlabots, kas potenciāli var radīt miljonus lielus zaudējumus. No otras puses, hakeri veic lielu izmaiņu daļu, piedaloties kļūdu novēršanas programmās — daži pat gūst pilnas slodzes ienākumus, atklājot programmatūras ievainojamības.
Bug Bounty programmu piemēri, kas uzlabo programmatūras drošību
Ir labi zināt, kā teorētiski darbojas kļūdu novēršanas programmas, taču apskatīsim dažus reālus piemērus par uzņēmumiem, kas izmaksā milzīgas summas balto cepuru hakeriem.
Sadarbībā ar bug bounty platformu Immunefi, decentralizēto blokķēdes tiltu platformu Wormhole 2022. gada februārī tika uzsākta atlīdzības programma, kas piedāvā 10 miljonus USD ikvienam, kurš atklāj svarīgu drošības līdzekli kļūda. Drīz vien balto cepuru hakeris, kurš izmantoja pseidonīmu satya0x, tādu atklāja. Kā Immunefi paskaidroja a Vidēja post, kļūda varēja izraisīt lietotāju līdzekļu bloķēšanu, tāpēc satya0x saņēma 10 miljonus ASV dolāru par tās izpaušanu.
Arī 2022. gada februārī kriptovalūtu birža Monētu bāze samaksāja $ 250 000 kļūdu atlīdzību neatkarīgam pētniekam par platformas tirdzniecības saskarnes būtiskas nepilnības atklāšanu.
Aurora Labs, uzņēmums, kas atrodas aiz Aurora Ethereum (ETH) virtuālās mašīnas, 2022. gada aprīlī izmaksāja milzīgu 6 miljonu dolāru atlīdzību. Nauda tika piešķirta ētiskam hakeram, kas pazīstams kā pwning.eth, pēc tam, kad viņš atklāja ievainojamību, kas būtu ļāvuši draudu dalībniekiem izveidot bezgalīgu daudzumu Ethereum kriptovalūtas Aurorā dzinējs.
Kanādas e-komercijas gigants ShopifyTikmēr 2021. gadā pārspēja savu rekordu, kad tā prēmiju kopsumma sasniedza 1 miljonu ASV dolāru. Tajā gadā uzņēmums saņēma kopumā 3000 kļūdu ziņojumus no balto cepuru hakeriem visā pasaulē. Atbildot uz to, Shopify palielināja savu maksimālo atlīdzību līdz 100 000 USD.
Šie skaitļi var šķist absurdi augsti, taču tie patiešām nav salīdzinājumā ar naudas un datu apjomu, ko kibernoziedznieki citādi varētu iegūt, atklājot ievainojamības. Wormhole tikai noteica atlīdzību par kļūdu 10 miljonu dolāru apmērā pēc tam, kad pārkāpuma dēļ zaudēja 320 miljonus USD. Aurora Labs atalgoja balto cepuru hakeri, jo 6 miljoni dolāru nobāl salīdzinājumā ar 240 miljonu dolāru zaudēšanu ETH vērtībā, savukārt Coinbase un Shopify, iespējams, ietaupīja desmitiem miljonu, kompensējot rūpīgu pētniekiem.
5 labākās augsti apmaksātās kļūdu programmas
Tā kā uzņēmumi faktiski ietaupa daudz naudas, izveidojot atalgojošas kļūdu novēršanas programmas, pētnieki var izvēlēties no dažādām iespējām. Ja esat balto cepuru hakeris vai vēlaties par tādu kļūt, šeit ir piecas labi apmaksātas kļūdu novēršanas programmas, kas jāapsver.
Apple Security Bounty ir viena no populārākajām kļūdu novēršanas programmām pasaulē. Atlīdzības svārstās no 5000 USD par bloķēšanas ekrāna ievainojamību atklāšanu līdz 2 miljoniem USD par drošības caurumiem, kas ļautu apdraudētājam apiet Bloķēšanas režīma aizsardzība. Viss, kas jums jādara, lai iesniegtu kļūdu ziņojumu (tam ir jābūt rūpīgam un detalizētam), ir jāpierakstās ar savu Apple ID.
Vēl vienu populāru kļūdu novēršanas programmu vada Microsoft, kas piedāvā plašu atlīdzību klāstu. Līdzīgi kā Apple, arī Microsoft programma ir sadalīta desmitiem dažādu kategoriju. Piemēram, ja atklājat Microsoft ievainojamību. NET ietvaros, jūs varat sagaidīt maksājumu līdz USD 15 000. Bet, ja jūs tādu atklājat Microsoft Hyper-V, jūs varētu saņemt atlīdzību līdz pat 250 000 USD.
Samsung atlīdzības programma ir vērsta uz uzņēmuma mobilajiem produktiem. Tam ir samērā stingras politikas, tāpēc pirms kļūdas iesniegšanas noteikti tās rūpīgi izlasiet. Tāpat ņemiet vērā, ka uzņēmuma inženieri ņem vērā tikai tās kļūdas, kas ietekmē Samsung ierīču drošību. Atlīdzības svārstās no 200 līdz 200 000 USD.
Programmā Google Bug Hunters balvas sasniedz 30 000 $. Kļūdu mednieki, kā bieži tiek dēvēti par balto cepuru hakeriem, var ziņot par kļūdām pakalpojumā Gmail, YouTube, BlogSpot un citos Google pakalpojumos. Šai programmai ir ļoti aktīva kopiena un sava tiešsaistes universitāte, kas var būt lielisks resurss iesācējiem pētniekiem.
Meta veltes programma aptver Facebook, Instagram, WhatsApp, Messenger un daudzus citus produktus. Lai saņemtu atlīdzību (minimālā summa ir USD 500), jums ir jāatrod ievainojamības, kas rada drošības vai privātuma risku un atbilst skaidri noteiktām prasībām. Visi derīgie ziņojumi saņem atbildi. Ja vairāki mednieki konstatē vienu un to pašu problēmu, atlīdzība tiek piešķirta pirmajai personai, kas iesniedz ziņojumu.
Bug Bounty programmas: labākās pūļa drošības iespējas
Kļūdu atlīdzības programmas ir labākās pūļa drošības sistēmas. Un no tiem labumu gūst ne tikai tehnoloģiju uzņēmumi un kiberdrošības pētnieki — to dara visi, tostarp patērētāji.
Dažiem kukaiņu medības ir hobijs, bet citiem - pilnvērtīga karjera. Ja ietilpstat pēdējā kategorijā vai tiecaties uz to, ir daudz tiešsaistes kursu, kurus ir vērts apskatīt.