Русская Википедия:Bug Bounty

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Программа Bug Bounty — это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления. В частности, программы Bug Bounty были реализованы компаниями Facebook,[1] Yahoo!,[2] Google,[3] Reddit,[4] Square, Apple и Microsoft.[5]

История

Изначально программа «Bug Bounty» была создана Джарреттом Ридлинхафером, когда он работал в Netscape Communications Corporation в качестве инженера технической поддержки. Корпорация поощряла своих сотрудников продвигаться по карьерной лестнице и делать все необходимое, чтобы работа была выполнена.

В начале 1996 года Джарретт Ридлинхафер придумал фразу и идею Bugs Bounty. Он осознавал, что в корпорации есть много энтузиастов и ИТ-евангелистов тех или иных продуктов, некоторые из которых ему даже казались фанатичными, особенно в отношении браузера Mosaic/Netscape/Mozilla. Он начал исследовать ситуацию более подробно и обнаружил, что большинство энтузиастов были на самом деле разработчиками программного обеспечения. Они исправляли ошибки продуктов самостоятельно и публиковали исправления или улучшения продуктов:

  • в новостных форумах, которые были созданы отделом технической поддержки компании Netscape для возможности «самопомощи через сотрудничество» (ещё одна из идей Ридлинхафера во время четырёхлетней работы в корпорации);
  • на неофициальном сайте «Netscape U-FAQ», где все известные ошибки и особенности браузера, а также инструкции относительно устранения ошибок и исправлений были включены в перечень.

Ридлинхафер посчитал, что компания должна использовать эти ресурсы, и написал предложение своему менеджеру о Netscape Bugs Bounty Program, а тот предложил Ридлинхаферу представить его на следующем исполнительном заседании компании.

На следующем исполнительном заседании, в котором приняли участие Джеймс Барксдейл, Марк Андриссен и вице-президенты всех отделов, включая разработку продукта, каждому члену была вручена копия предложения Netscape Bugs Bounty Program, и Ридлинхафер был приглашен представить свою идею топ-менеджменту Netscape.

Все присутствующие на собрании приняли идею, за исключением вице-президента инжиниринга, который не хотел двигаться вперед, считая это пустой тратой времени. Однако его мнение было отвергнуто, и Ридлинхаферу дали начальный бюджет 50 тыс. $, чтобы начать работу над своим предложением. Первая официальная программа Bugs Bounty была запущена в 1995 году.[6][7][8]

Программа имела настолько крупный успех, что она упоминается во многих книгах об успехах корпорации NetscapeШаблон:Нет АИ.

Инциденты

В августе 2013 года студент факультета компьютерных наук по имени Халиль сообщил в Facebook об эксплойте, позволявшем любому пользователю разместить видео на чьём угодно аккаунте. Согласно его email-переписке, он пытался сообщить об уязвимости в рамках программы Bug Bounty Facebook, но сотрудники Facebook неверно его поняли. Позднее он сам воспользовался этим эксплойтом от лица главы Facebook Марка Цукерберга, поэтому ему отказали в вознаграждении.[9]

Файл:Facebook t-shirt with whitehat debit card for Hackers.jpg
Дебетовая карта Facebook для «белых шляп», которая даётся исследователям, сообщающим об ошибке безопасности

Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выдавая им особые дебетовые карты «White Hat», на которые начисляются деньги всякий раз, когда исследователи находят новые недостатки и ошибки. «Исследователи, которые находят ошибки и возможности по улучшению системы безопасности, редки, и мы их ценим и должны вознаграждать их», — рассказал в интервью CNET Райан Макгихен, бывший менеджер Facebook по безопасности. «Наличие этой эксклюзивной чёрной карты — это ещё один способ признать их заслуги. Они могут на конференции показать эту карточку и сказать: я делал особую работу для Facebook».[10] В 2014 году Facebook прекратила выдачу дебетовых карт для исследователей.

Индия, которая занимает одно из первых мест в мире по количеству охотников на уязвимости,[11] возглавляет программу Bug Bounty Facebook по количеству найденных ошибок.

Компания Yahoo! была подвергнута жёсткой критике за рассылку футболок в награду для исследователей в области безопасности за обнаружение и сообщение об уязвимостях в Yahoo. Это событие стали называть T-shirt-gate («футболка-гейт»).[12] Компания по тестированию безопасности High-Tech Bridge (Женева, Швейцария) выпустила пресс-релиз, в котором говорилось, что Yahoo! предлагала за уязвимости кредит в 12,50 $, за которые можно было приобрести брендовые вещи, такие как футболки, чашки и ручки из магазина Yahoo. Рамзес Мартинес, директор Yahoo по информационной безопасности, заявил позже в своем блоге,[13] что он стоял за этой программой и фактически платил за них из собственного кармана. В итоге компания Yahoo! запустила новую программу Bug Bounty 31 октября того же года, позволявшую сообщать об уязвимостях и получать награды от 250 до 15 000 $, в зависимости от критичности обнаруженных ошибок.[14]

С похожей проблемой столкнулась компания Ecava, запустившая в 2013 году первую программу Bug Bounty для АСУ[15][16]. Она подверглась критике за то, что вместо реальных денег предлагала кредит в своём магазине, что не вызывало энтузиазма у исследователей[17]. По словам Ecava, программа с самого начала планировалась ограниченной и фокусировалась на безопасности пользователей их продукта IntegraXor SCADA[15][16].

Известные программы

В октябре 2013 года компания Google анонсировала существенное изменение в свою программу вознаграждений для нашедших уязвимости. Раньше программа Bug Bounty охватывала многие продукты Google. Однако программа была расширена, чтобы включать ряд свободных приложений и библиотек с высоким риском, в первую очередь тех, которые предназначены для сетей или для функциональности низкоуровневой операционной системы. Отчёты, которые соответствуют нормативам Google, могут быть вознаграждены в пределах от 500 до 3133,70 $.[18][19]

Аналогичным образом компании Microsoft и Facebook объединились в ноябре 2013 года для спонсирования программы The Internet Bug Bounty, предлагающей награду за отчёты об уязвимостях и эксплойтах для широкого спектра программного обеспечения, связанного с Интернетом.[20] В 2017 году эту программу проспонсировали GitHub и фонд Форда; ею управляют волонтёры из Uber, Microsoft, Facebook, Adobe и HackerOne.[21] В ней участвуют такие продукты, как Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, nginx, Apache HTTP Server и Phabricator. Кроме того, в рамках программы предлагалась награда за выявление более широких уязвимостей, затрагивающих широко используемые операционные системы и веб-браузеры, а также Интернет в целом.[22]

В марте 2016 года Питер Кук объявил первую программу Bug Bounty федерального правительства США, Hack the Pentagon («Взломай Пентагон»).[23] Программа проходила с 18 апреля по 12 мая, и более 1400 человек подали 138 уникальных отчётов через HackerOne. В общей сложности Министерство обороны США выплатило 71 200 $.[24] В июне министр обороны Эш Картер встретился с двумя участниками, Дэвидом Дворкеном и Крейгом Арендом, чтобы поблагодарить их за участие в программе.[25]

Open Bug Bounty — коллективная программа Bug Bounty, запущенная в 2014 году и позволяющая сообщать об уязвимостях сайтов и веб-приложений в надежде на вознаграждение от их владельцев.

8 декабря 2020 года Казахстанская компания по предоставлению услуг кибербезопасности ОЮЛ «Центр анализа и расследования кибер атак» запустила Национальную площадку по выявлению уязвимостей BugBounty.kz. К платформе, помимо частных компаний, также были подключены информационные системы и ресурсы государственных органов. С момента запуска платформы по 28 октября 2021 года было получено 1039 отчетов об уязвимостяхШаблон:Нет АИ. За время функционирования платформы были выявлены уязвимости, которые приводили к утечке персональных данных из критически важных объектов информационно-коммуникационной инфраструктуры и перехвату управления системами жизнеобеспечения целого городаШаблон:Нет АИ.

В 2021 году компания ООО Киберполигон анонсировала и запустила площадку BugBounty.ru, первую в РФ платформу для поиска уязвимостей и взаимодействия баг-хантеров и владельцев ресурсовШаблон:Нет АИ. С момента запуска программы было выявлено несколько сотен уязвимостей, от незначительных до сверх-критичныхШаблон:Нет АИ.

В 2022 году компания Positive Technologies представила[26] свою платформу The Standoff 365 Bug Bounty. Впервые исследователи безопасности на ней могут получать награду не только за обнаружение уязвимостей, но и за реализацию бизнес-рисков. За два месяца на платформе зарегистрировались более 900 исследователей безопасностиШаблон:Нет АИ.

См. также

Примечания

Шаблон:Примечания

Ссылки

Партнерские ресурсы
Криптовалюты
Магазины
Хостинг
Разное

  1. Шаблон:Cite web
  2. Шаблон:Cite web
  3. Шаблон:Cite web
  4. Шаблон:Cite web
  5. «Microsoft Bounty Programs» Шаблон:Архивировано
  6. «Netscape announces Netscape Bugs Bounty with relaase of nestscape navigator 2.0»
  7. Шаблон:Cite web
  8. Шаблон:Cite web
  9. Шаблон:Cite web
  10. Шаблон:Cite web
  11. Шаблон:Cite web
  12. Шаблон:Cite web
  13. Шаблон:Cite web
  14. Шаблон:Cite web
  15. 15,0 15,1 Шаблон:Cite web
  16. 16,0 16,1 Шаблон:Cite web
  17. Шаблон:Cite web
  18. Шаблон:Cite web
  19. Шаблон:Cite web
  20. Шаблон:Cite web
  21. Шаблон:Cite web
  22. Шаблон:Cite web
  23. Шаблон:Cite web
  24. «Vulnerability disclosure for Hack the Pentagon» Шаблон:Wayback.
  25. Шаблон:Cite web
  26. Шаблон:Cite news
Источник — http://wikihandbk.com/ruwiki/index.php?title=Русская_Википедия:Bug_Bounty&oldid=8603269