Kogu tarkvaral on vigu või vigu, mis põhjustavad probleeme. Need ulatuvad banaalsetest probleemidest, mis ei mõjuta oluliselt tarkvara jõudlust, kuni tõsiste turvaaukudeni.
Vigu võib olla raske märgata, mistõttu on paljudel tehnoloogiaettevõtetel vigade eest tasumise programmid. Aga mis on veaprogrammid? Kuidas need töötavad ja kuidas need aitavad parandada toote turvalisust?
Kuidas Bug Bounty programmid töötavad
Ettevõtted käivitavad stiimuliteks vigade hüvitamise programme valge mütsi häkkerid tarkvarast turvaauke ja sarnaseid haavatavusi otsida. Vea avastajatele on tavaliselt rohkem kui korralik rahaline auhind, ükskõik kui tühine see tavainimesele ka ei tunduks.
Ja mitte ainult väikestel, kasvavatel ettevõtetel on veatoetusprogrammid. Tegelikult juhivad neid enamik tehnikahiiglasi, sealhulgas Google, Microsoft, Facebook ja Apple. Nende programmide üksikasju leiate tavaliselt ettevõtte ametlikult veebisaidilt. Enamasti on mitu astet või kategooriat. Kuid põhimõtteliselt, mida olulisem on viga, seda suurem on tasu.
Kui valge mütsi häkker avastab vea, esitab ta üksikasjaliku avalikustamisaruande, milles selgitatakse, mida nad on leidnud. Seejärel vaatavad ettevõtte insenerid esildise üle ja uurivad seda ning kui uurija tulemused osutuvad täpseks ja kasulikuks, teavitatakse neid ja nad saavad rahalise tasu.
See süsteem töötab nii ettevõtete kui ka sõltumatute teadlaste jaoks. Iga ettevõtte vaatenurgast on parem, kui eetiline häkker avastab vea, kui ohustaja, kes tõenäoliselt jätkab kasutage seda enne parandamist, mis võib tekitada miljoneid kahjusid. Häkkerid aga teevad veaprogrammides osaledes suure osa muudatustest – mõned teenivad isegi täiskohaga sissetulekut, kui avastavad tarkvara haavatavust.
Näiteid tarkvara turvalisust parandavatest veaprogrammidest
Hea on teada, kuidas veaprogrammid teoorias töötavad, kuid vaatame mõnda reaalset näidet ettevõtetest, kes maksavad valgekübaratele häkkeritele suuri summasid.
Koostöös bug bounty platvormiga Immunefi detsentraliseeritud plokiahela sillaplatvorm Wormhole käivitas 2022. aasta veebruaris hüvitusprogrammi, mis pakub 10 miljonit dollarit kõigile, kes avastavad kriitilise tähtsusega väärtpaberi viga. Varsti avastas pseudonüümi satya0x kasutav valge mütsi häkker ühe. Nagu Immunefi selgitas a Keskmine pärast postitust võis viga viia kasutaja raha lukustamiseni, nii et satya0x sai selle avalikustamise eest 10 miljonit dollarit.
Ka veebruaris 2022 krüptovaluutade börs Mündi alus maksis 250 000 dollari suuruse veapreemia sõltumatule uurijale platvormi kauplemisliidese olulise vea avastamise eest.
Aurora laborid, Aurora Ethereumi (ETH) virtuaalmasina taga asuv ettevõte, maksis 2022. aasta aprillis välja tohutu 6 miljoni dollari suuruse pearaha. Raha määrati eetilisele häkkerile nimega pwning.eth pärast seda, kui ta avastas haavatavuse, mis oleks lubanud ohus osalejatel vermida Auroras lõputult Ethereumi krüptovaluutat mootor.
Kanada e-kaubanduse hiiglane ShopifyVahepeal purustas 2021. aastal oma rekordi, kui selle pearaha väljamaksed ulatusid miljoni dollarini. Sel aastal sai ettevõte valge mütsi häkkeritelt üle maailma kokku 3000 veateadet. Vastuseks tõstis Shopify oma suurimat bounty preemiat 100 000 dollarini.
Need arvud võivad tunduda absurdselt suured, kuid need pole tegelikult võrreldes raha- ja andmete hulgaga, mida küberkurjategijad muidu haavatavust avastades saaksid. Wormhole määras 10 miljoni dollari suuruse veapreemia alles pärast seda, kui ta kaotas rikkumise tõttu 320 miljonit dollarit. Aurora Labs autasustas valge mütsi häkkerit, sest 6 miljonit dollarit kahvatub võrreldes 240 miljoni dollari kaotamisega ETH väärtuses, samas kui Coinbase ja Shopify säästsid tõenäoliselt kümneid miljoneid hoolsalt kompenseerides uurijad.
5 parimat kõrgelt tasustatud vigade bounty programmi
Kuna ettevõtted säästavad tegelikult palju raha, luues rahuldust pakkuvaid veatoetusprogramme, on teadlastel palju võimalusi. Kui juhtute olema valge mütsi häkker või soovite selliseks saada, on siin viis kõrgelt tasustatud vigade hüvitamise programmi, mida kaaluda.
Apple Security Bounty on üks populaarsemaid vigade hüvitamise programme maailmas. Preemiad ulatuvad 5000 dollarist lukustusekraani haavatavuste avastamise eest kuni 2 miljoni dollarini turvaaukude eest, mis võimaldaksid ohus osalejal mööda minna Lukustusrežiimi kaitsed. Veaaruande esitamiseks (mis peab olema põhjalik ja üksikasjalik) pole vaja ainult oma Apple ID-ga sisse logida.
Teist populaarset veahaldusprogrammi juhib Microsoft, mis pakub laia valikut hüvesid. Sarnaselt Apple'iga on ka Microsofti programm jagatud kümnetesse erinevatesse kategooriatesse. Näiteks kui avastate Microsofti haavatavuse. NET raamistikus, võite oodata kuni 15 000 dollari suurust makset. Aga kui avastate ühe sisse Microsoft Hyper-V, võite saada kuni 250 000 dollari suuruse preemia.
Samsungi preemiaprogramm keskendub ettevõtte mobiilitoodetele. Sellel on suhteliselt ranged eeskirjad, seega lugege need enne vea esitamist hoolikalt läbi. Samuti pange tähele, et ettevõtte insenerid võtavad arvesse ainult Samsungi seadmete turvalisust mõjutavaid vigu. Preemiad jäävad vahemikku 200–200 000 dollarit.
Google Bug Huntersi pearahaprogrammis ulatuvad preemiad kuni 30 000 dollarini. Veakütid, nagu valgekübaratele häkkeritele sageli viidatakse, saavad teatada Gmaili, YouTube'i, BlogSpoti ja muude Google'i teenuste vigadest. Sellel programmil on väga aktiivne kogukond ja oma veebiülikool, mis võib olla suurepärane ressurss algajatele teadlastele.
Meta bounty programm hõlmab Facebooki, Instagrami, WhatsAppi, Messengerit ja paljusid muid tooteid. Tasu saamiseks (minimaalne summa on 500 dollarit) peate leidma haavatavused, mis kujutavad endast turva- või privaatsusriski ja vastavad selgelt määratletud nõuetele. Kõik kehtivad aruanded saavad vastuse. Kui sama probleemi märkavad mitu jahimeest, antakse preemia esimesena teate esitajale.
Bug Bounty programmid: rahvaturbe parim
Bug bounty programmid esindavad parimat ühisturbe. Ja neist ei saa kasu ainult tehnoloogiaettevõtted ja küberjulgeolekuteadlased – kõik, sealhulgas tarbijad.
Mõne jaoks on putukajaht hobi, mõne jaoks aga täieõiguslik karjäär. Kui kuulute viimasesse kategooriasse või soovite selle poole püüda, on palju veebikursusi, mida tasub vaadata.