Kaikissa ohjelmistoissa on virheitä tai puutteita, jotka aiheuttavat ongelmia. Ne vaihtelevat banaaleista ongelmista, jotka eivät vaikuta ohjelmiston suorituskykyyn millään tavalla, vakaviin tietoturva-aukoihin.
Vikoja voi olla vaikea havaita, minkä vuoksi monilla teknologiayrityksillä on bugipalkkio-ohjelmia. Mutta mitä bug bounty -ohjelmat tarkalleen ottaen ovat? Miten ne toimivat ja miten ne auttavat parantamaan tuotteen turvallisuutta?
Miten Bug Bounty -ohjelmat toimivat
Yritykset käynnistävät bugipalkkio-ohjelmia kannustaakseen valkohattu hakkerit etsiä tietoturva-aukkoja ja vastaavia haavoittuvuuksia ohjelmistoista. Vian löytäneille on tyypillisesti enemmän kuin kohtuullinen rahapalkinto, riippumatta siitä, kuinka merkityksettömältä se tavalliselle ihmiselle näyttää.
Eikä vain pienillä, nousevilla yrityksillä ole bugipalkkio-ohjelmia. Itse asiassa useimmat teknologiajättiläiset käyttävät niitä, mukaan lukien Google, Microsoft, Facebook ja Apple. Tietoja näistä ohjelmista löytyy yleensä yrityksen viralliselta verkkosivustolta. Useimmiten on olemassa useita tasoja tai luokkia. Mutta periaatteessa mitä merkittävämpi virhe, sitä korkeampi palkkio.
Kun valkoinen hattu hakkeri löytää virheen, hän lähettää yksityiskohtaisen ilmoitusraportin, jossa selitetään löytämänsä. Yrityksen insinöörit tarkistavat ja tutkivat palautetta, ja jos tutkijan havainnot osoittautuvat oikeiksi ja hyödyllisiksi, heille ilmoitetaan ja heille maksetaan rahallinen palkkio.
Tämä järjestelmä toimii sekä yrityksille että riippumattomille tutkijoille. Minkä tahansa yrityksen näkökulmasta katsottuna on parempi, että eettinen hakkeri löytää vian kuin uhkatekijä, joka todennäköisesti jatkaa hyödyntää sitä ennen kuin se on korjattu, joka voi aiheuttaa miljoonia vahinkoja. Hakkerit sitä vastoin tekevät mukavan osan muutoksista osallistumalla bug bounty -ohjelmiin – jotkut jopa ansaitsevat kokopäiväisiä tuloja havaitessaan ohjelmiston haavoittuvuuksia.
Esimerkkejä ohjelmistoturvallisuutta parantavista bug Bounty -ohjelmista
On hyvä tietää, miten bug-palkkio-ohjelmat toimivat teoriassa, mutta katsotaanpa muutamia todellisia esimerkkejä yrityksistä, jotka maksavat valtavia summia valkohattu-hakkereille.
Yhteistyössä bug bounty -alustan Immunefin kanssa hajautettu lohkoketjusiltaalusta Wormhole käynnisti helmikuussa 2022 palkkio-ohjelman, joka tarjoaa 10 miljoonaa dollaria kaikille, jotka löytävät tärkeän tietoturvan bugi. Pian salanimellä satya0x käyttänyt valkoinen hattuhakkeri löysi sellaisen. Kuten Immunefi selitti kohdassa a Keskikokoinen postitse, virhe olisi voinut johtaa käyttäjien varojen lukitsemiseen, joten satya0x sai 10 miljoonaa dollaria sen paljastamisesta.
Myös helmikuussa 2022 kryptovaluuttapörssi Coinbase maksoi 250 000 dollarin bugipalkkion riippumattomalle tutkijalle, koska hän löysi suuren puutteen alustan kaupankäyntiliittymässä.
Aurora Labs, Aurora Ethereum (ETH) -virtuaalikoneen takana oleva yritys, maksoi valtavan 6 miljoonan dollarin palkkion huhtikuussa 2022. Rahat myönnettiin eettiselle hakkerille, joka tunnetaan nimellä pwning.eth, kun hän löysi haavoittuvuuden, joka olisi sallinut uhkatoimijoiden lyödä äärettömän määrän Ethereumin kryptovaluuttaa Aurorassa moottori.
Kanadalainen verkkokaupan jättiläinen ShopifySillä välin rikkoi oman ennätyksensä vuonna 2021, jolloin sen palkkiot olivat miljoona dollaria. Tuona vuonna yritys sai yhteensä 3 000 vikailmoitusta white hat -hakkereilta ympäri maailmaa. Vastauksena Shopify nosti enimmäispalkkionsa 100 000 dollariin.
Nämä luvut saattavat tuntua järjettömän korkeilta, mutta ne eivät todellakaan ole verrattuna siihen raha- ja datamäärään, jonka kyberrikolliset muuten voisivat tienata haavoittuvuuksia löytäessään. Wormhole asetti vain 10 miljoonan dollarin bugipalkkion, kun se menetti 320 miljoonaa dollaria rikkomuksen vuoksi. Aurora Labs palkitsi valkohattun hakkerin, koska 6 miljoonaa dollaria haalistuu 240 miljoonan dollarin menettämiseen ETH: n arvosta, kun taas Coinbase ja Shopify säästivät todennäköisesti kymmeniä miljoonia kompensoimalla ahkeraa tutkijat.
5 parasta korkeapalkkaista bugipalkkioohjelmaa
Koska yritykset todella säästävät paljon rahaa perustamalla palkitsevia bugipalkkio-ohjelmia, tutkijat voivat valita useista vaihtoehdoista. Jos satut olemaan valkohattuhakkeri tai haluaisit sellaiseksi, tässä on viisi korkeapalkkaista bugipalkkio-ohjelmaa, jotka kannattaa harkita.
Apple Security Bounty on yksi maailman suosituimmista bugipalkkio-ohjelmista. Palkinnot vaihtelevat 5 000 dollarista lukitusnäytön haavoittuvuuksien löytämisestä 2 miljoonaan dollariin tietoturva-aukoista, joiden avulla uhkatekijä voisi ohittaa Lukitustilan suojaukset. Sinun tarvitsee vain lähettää virheraportti (jonka on oltava perusteellinen ja yksityiskohtainen) kirjautua sisään Apple ID: lläsi.
Toinen suosittu bugipalkkio-ohjelma on Microsoftin ylläpitämä, ja se tarjoaa laajan valikoiman palkintoja. Aivan kuten Applen, Microsoftin ohjelma on jaettu kymmeniin eri luokkiin. Jos esimerkiksi huomaat Microsoftin haavoittuvuuden. NET-kehyksessä, voit odottaa jopa 15 000 dollarin maksua. Mutta jos löydät sellaisen Microsoft Hyper-V, voit saada jopa 250 000 dollarin palkkion.
Samsung Rewards -ohjelma keskittyy yrityksen mobiilituotteisiin. Sillä on suhteellisen tiukat käytännöt, joten muista lukea ne huolellisesti ennen kuin lähetät virheen. Huomaa myös, että yrityksen insinöörit ottavat huomioon vain Samsung-laitteiden turvallisuuteen vaikuttavat virheet. Palkinnot vaihtelevat 200 ja 200 000 dollarin välillä.
Google Bug Hunters -palkkioohjelmassa palkinnot nousevat 30 000 dollariin. Vianmetsästäjät, kuten white hat hakkereita usein kutsutaan, voivat ilmoittaa virheistä Gmailissa, YouTubessa, BlogSpotissa ja muissa Googlen palveluissa. Tällä ohjelmalla on erittäin aktiivinen yhteisö ja oma verkkoyliopisto, joka voi olla loistava resurssi aloitteleville tutkijoille.
Metan palkkio-ohjelma kattaa Facebookin, Instagramin, WhatsAppin, Messengerin ja joukon muita tuotteita. Jotta voit saada palkkion (minimi on 500 dollaria), sinun on löydettävä haavoittuvuuksia, jotka aiheuttavat turvallisuus- tai yksityisyysriskin ja jotka täyttävät selkeästi määritellyt vaatimukset. Kaikki kelvolliset raportit saavat vastauksen. Jos useat metsästäjät huomaavat saman ongelman, palkinto annetaan ensimmäiselle ilmoituksen tekijälle.
Bug Bounty -ohjelmat: Crowdsourced Securityn paras
Bug bounty -ohjelmat edustavat parasta joukkolähdettyä tietoturvaa. Eivätkä vain teknologiayritykset ja kyberturvallisuuden tutkijat hyödy niistä – kaikki hyötyvät, myös kuluttajat.
Joillekin bug metsästys on harrastus ja toisille täysi ura. Jos kuulut jälkimmäiseen kategoriaan tai tavoittelet sitä, on paljon online-kursseja, joihin kannattaa tutustua.