Bug Bounty
Программа Bug Bounty — это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления. В частности, программы Bug Bounty были реализованы компаниями Facebook,[1] Yahoo!,[2] Google,[3] Reddit,[4] Square, Apple и Microsoft.[5]
История
Изначально программа «Bug Bounty» была создана Джарреттом Ридлинхафером, когда он работал в Netscape Communications Corporation в качестве инженера технической поддержки. Корпорация поощряла своих сотрудников продвигаться по карьерной лестнице и делать все необходимое, чтобы работа была выполнена.
В начале 1996 года Джарретт Ридлинхафер придумал фразу и идею Bugs Bounty. Он осознавал, что в корпорации есть много энтузиастов и ИТ-евангелистов тех или иных продуктов, некоторые из которых ему даже казались фанатичными, особенно в отношении браузера Mosaic/Netscape/Mozilla. Он начал исследовать ситуацию более подробно и обнаружил, что большинство энтузиастов были на самом деле разработчиками программного обеспечения. Они исправляли ошибки продуктов самостоятельно и публиковали исправления или улучшения продуктов:
- в новостных форумах, которые были созданы отделом технической поддержки компании Netscape для возможности «самопомощи через сотрудничество» (ещё одна из идей Ридлинхафера во время четырёхлетней работы в корпорации);
- на неофициальном сайте «Netscape U-FAQ», где все известные ошибки и особенности браузера, а также инструкции относительно устранения ошибок и исправлений были включены в перечень.
Ридлинхафер посчитал, что компания должна использовать эти ресурсы, и написал предложение своему менеджеру о Netscape Bugs Bounty Program, а тот предложил Ридлинхаферу представить его на следующем исполнительном заседании компании.
На следующем исполнительном заседании, в котором приняли участие Джеймс Барксдейл, Марк Андриссен и вице-президенты всех отделов, включая разработку продукта, каждому члену была вручена копия предложения Netscape Bugs Bounty Program, и Ридлинхафер был приглашен представить свою идею топ-менеджменту Netscape.
Все присутствующие на собрании приняли идею, за исключением вице-президента инжиниринга, который не хотел двигаться вперед, считая это пустой тратой времени. Однако его мнение было отвергнуто, и Ридлинхаферу дали начальный бюджет 50 тыс. $, чтобы начать работу над своим предложением. Первая официальная программа Bugs Bounty была запущена в 1995 году.[6][7][8]
Программа имела настолько крупный успех, что она упоминается во многих книгах об успехах корпорации Netscape.
Инциденты
В августе 2013 года студент факультета компьютерных наук по имени Халиль сообщил в Facebook об эксплойте, позволявшем любому пользователю разместить видео на чьём угодно аккаунте. Согласно его email-переписке, он пытался сообщить об уязвимости в рамках программы Bug Bounty Facebook, но сотрудники Facebook неверно его поняли. Позднее он сам воспользовался этим эксплойтом от лица главы Facebook Марка Цукерберга, поэтому ему отказали в вознаграждении.[9]
Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выдавая им особые дебетовые карты «White Hat», на которые начисляются деньги всякий раз, когда исследователи находят новые недостатки и ошибки. «Исследователи, которые находят ошибки и возможности по улучшению системы безопасности, редки, и мы их ценим и должны вознаграждать их», — рассказал в интервью CNET Райан Макгихен, бывший менеджер Facebook по безопасности. «Наличие этой эксклюзивной чёрной карты — это ещё один способ признать их заслуги. Они могут на конференции показать эту карточку и сказать: я делал особую работу для Facebook».[10] В 2014 году Facebook прекратила выдачу дебетовых карт для исследователей.
Индия, которая занимает одно из первых мест в мире по количеству охотников на уязвимости,[11] возглавляет программу Bug Bounty Facebook по количеству найденных ошибок.
Компания Yahoo! была подвергнута жёсткой критике за рассылку футболок в награду для исследователей в области безопасности за обнаружение и сообщение об уязвимостях в Yahoo. Это событие стали называть T-shirt-gate («футболка-гейт»).[12] Компания по тестированию безопасности High-Tech Bridge (Женева, Швейцария) выпустила пресс-релиз, в котором говорилось, что Yahoo! предлагала за уязвимости кредит в 12,50 $, за которые можно было приобрести брендовые вещи, такие как футболки, чашки и ручки из магазина Yahoo. Рамзес Мартинес, директор Yahoo по информационной безопасности, заявил позже в своем блоге,[13] что он стоял за этой программой и фактически платил за них из собственного кармана. В итоге компания Yahoo! запустила новую программу Bug Bounty 31 октября того же года, позволявшую сообщать об уязвимостях и получать награды от 250 до 15 000 $, в зависимости от критичности обнаруженных ошибок.[14]
С похожей проблемой столкнулась компания Ecava, запустившая в 2013 году первую программу Bug Bounty для АСУ[15][16]. Она подверглась критике за то, что вместо реальных денег предлагала кредит в своём магазине, что не вызывало энтузиазма у исследователей[17]. По словам Ecava, программа с самого начала планировалась ограниченной и фокусировалась на безопасности пользователей их продукта IntegraXor SCADA[15][16].
Известные программы
В октябре 2013 года компания Google анонсировала существенное изменение в свою программу вознаграждений для нашедших уязвимости. Раньше программа Bug Bounty охватывала многие продукты Google. Однако программа была расширена, чтобы включать ряд свободных приложений и библиотек с высоким риском, в первую очередь тех, которые предназначены для сетей или для функциональности низкоуровневой операционной системы. Отчёты, которые соответствуют нормативам Google, могут быть вознаграждены в пределах от 500 до 3133,70 $.[18][19]
Аналогичным образом компании Microsoft и Facebook объединились в ноябре 2013 года для спонсирования программы The Internet Bug Bounty, предлагающей награду за отчёты об уязвимостях и эксплойтах для широкого спектра программного обеспечения, связанного с Интернетом.[20] В 2017 году эту программу проспонсировали GitHub и фонд Форда; ею управляют волонтёры из Uber, Microsoft, Facebook, Adobe и HackerOne.[21] В ней участвуют такие продукты, как Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, nginx, Apache HTTP Server и Phabricator. Кроме того, в рамках программы предлагалась награда за выявление более широких уязвимостей, затрагивающих широко используемые операционные системы и веб-браузеры, а также Интернет в целом.[22]
В марте 2016 года Питер Кук объявил первую программу Bug Bounty федерального правительства США, Hack the Pentagon («Взломай Пентагон»).[23] Программа проходила с 18 апреля по 12 мая, и более 1400 человек подали 138 уникальных отчётов через HackerOne. В общей сложности Министерство обороны США выплатило 71 200 $.[24] В июне министр обороны Эш Картер встретился с двумя участниками, Дэвидом Дворкеном и Крейгом Арендом, чтобы поблагодарить их за участие в программе.[25]
Open Bug Bounty — коллективная программа Bug Bounty, запущенная в 2014 году и позволяющая сообщать об уязвимостях сайтов и веб-приложений в надежде на вознаграждение от их владельцев.
8 декабря 2020 года Казахстанская компания по предоставлению услуг кибербезопасности ОЮЛ "Центр анализа и расследования кибер атак" запустила Национальную площадку по выявлению уязвимостей BugBounty.kz. К платформе, помимо частных компаний, также были подключены информационные системы и ресурсы государственных органов. С момента запуска платформы по 28 октября 2021 года было получено 1039 отчетов об уязвимостях. За время функционирования платформы были выявлены уязвимости, которые приводили к утечке персональных данных из критически важных объектов информационно-коммуникационной инфраструктуры и перехвату управления системами жизнеобеспечения целого города.
В 2021 году компания ООО Киберполигон анонсировала и запустила площадку BugBounty.ru, первую и единственную в РФ платформу для поиска уязвимостей и взаимодействия баг-хантеров и владельцев ресурсов. С момента запуска программы было выявлено несколько сотен уязвимостей, от незначительных до сверх-критичных.
См. также
Примечания
- Facebook Security. Facebook WhiteHat . Facebook (26 April 2014). Дата обращения: 11 марта 2014.
- Yahoo! Bug Bounty Program . HackerOne. Дата обращения: 11 марта 2014.
- «Vulnerability Assessment Reward Program»
- «Reddit — whitehat»
- «Microsoft Bounty Programs» Архивировано 21 ноября 2013 года.
- «Netscape announces Netscape Bugs Bounty with relaase of nestscape navigator 2.0»
- «Cobalt Application Security Platform»
- CenturyLink CenturyLinkVoice: Why Companies Like Pinterest Run Bug Bounty Programs Through The Cloud . Дата обращения: 30 июля 2016.
- «Hacker posts Facebook bug report on Zuckerberg’s wall»
- Whitehat, Facebook Facebook whitehat Debit card . CNET.
- Bug hunters aplenty but respect scarce for white hat hackers in India . Factor Daily (8 February 2018). Дата обращения: 4 июня 2018.
- T-shirt Gate, Yahoo! Yahoo! T-shirt gate . ZDNet.
- Bug Bounty, Yahoo! So I'm the guy who sent the t-shirt out as a thank you . Ramses Martinez. Дата обращения: 2 октября 2013.
- BugBounty Program, Yahoo! Yahoo! launched its Bug Bounty Program . Ramses Martinez. Дата обращения: 31 октября 2013.
- Michael Toecker. More on IntegraXor's Bug Bounty Program . Digital Bond (23 July 2013). Дата обращения: 21 мая 2019.
- Steve Ragan. SCADA vendor faces public backlash over bug bounty program . CSO (18 July 2013). Дата обращения: 21 мая 2019.
- Fahmida Y. Rashi. SCADA Vendor Bashed Over "Pathetic" Bug Bounty Program . Security Week (16 July 2013). Дата обращения: 21 мая 2019.
- Goodin, Dan Google offers "leet" cash prizes for updates to Linux and other OS software . Ars Technica (9 October 2013). Дата обращения: 11 марта 2014.
- Zalewski, Michal Going beyond vulnerability rewards . Google Online Security Blog (9 October 2013). Дата обращения: 11 марта 2014.
- Goodin, Dan Now there's a bug bounty program for the whole Internet . Ars Technica (6 November 2013). Дата обращения: 11 марта 2014.
- Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure . VentureBeat (21 July 2017). Дата обращения: 4 июня 2018.
- «The Internet Bug Bounty»
- «DoD Invites Vetted Specialists to 'Hack' the Pentagon»
- «Vulnerability disclosure for Hack the Pentagon».
- «18-year-old hacker honored at Pentagon»
Ссылки
- Independent International List of Bug Bounty & Disclosure Programs
- Crowd Bug Bounty List
- The Internet Bug Bounty List
- AT&T Bug Bounty Program
- PayPal Inc Bug Bounty Program
- Facebook Whitehat Bug Bounty Program
- United Airlines Bug Bounty Program
- Google Vulnerability Reward Program
- Zerodium Premium Vulnerability Acquisition Program
- The History of Bug Bounty Programs
- Платформа №1 в РФ для выплаты награды за обнаружение уязвимостей сервисов и приложений
- Национальная площадка по выявлению уязвимостей РК