Hvad er en Bug Bounty?

Med hvor kompleks software er, er det udfordrende at sikre, at der ikke er nogen fejl. Dette er simpelthen måden af ​​ting, der er menneskeligt designet og yderst komplekse. For at minimere problemet inkluderer softwareudviklingsvirksomheder kodegennemgange i deres softwareudviklingslivscyklus. Men selv omhyggelig ekspertgennemgang kan ikke fange alt. Selve realtids- og budgetbegrænsningerne forværrer dette. På grund af dette kommer fejl til produktionssystemer. Nogle fejl har ringe eller ingen effekt, men andre kan introducere grimme sikkerhedssårbarheder.

En sikkerhedssårbarhed er en klasse af fejl, der påvirker systemets sikkerhed på en eller anden måde. Der er en bred vifte af mulige resultater, men i sidste ende er alle sikkerhedssårbarheder dårlige for alle. Desværre kan det være svært og tidskrævende at finde fejl. Mens udviklere kun kan bruge en begrænset mængde tid på at teste for fejl, bruger en anden gruppe sammen meget mere tid på at bruge applikationen - brugerne.

Brugere af et system tilsammen bruger enormt meget mere tid på et system, end udviklerne af det system nogensinde kunne. De bruger også et meget bredere udvalg af enheder. Kombineret gør dette det perfekte miljø til at finde fejl – mange øjne og kanthuse.

At sætte brugerne i arbejde

Den traditionelle måde at bruge brugere til at løse fejl på er at have en fejlrapporteringsfunktion, der giver brugerne mulighed for at rapportere en fejl, de støder på. Udviklerne kan bruge disse oplysninger til at replikere, identificere og afhjælpe problemet. Problemet er, at der er et minimalt incitament for brugeren til at rapportere eventuelle problemer. Det er en proces, der tager tid, har potentielle privatlivsimplikationer og generelt ikke resulterer i nogen feedback, selvom problemet er løst.

Sikkerhedssårbarheder er endnu værre. En ondsindet bruger kan vælge at bruge en sårbarhed, de finder aktivt. Afhængigt af problemstillingen kan det være muligt at få adgang til noget værdifuldt, enten på det sorte marked eller gennem løsesum eller afpresning. Alternativt er det muligt at sælge viden om sårbarheden på det sorte marked. Uanset hvad, er brugere ikke tilskyndet til at rapportere fejl og bliver afskåret fra at rapportere sikkerhedssårbarheder.

At vende bordet

Et bug bounty-system er en måde at vende bordet på for at tilskynde til aktiv rapportering af sikkerhedsproblemer. Metoden er enkel og belønner dem. Standardmetoden er at udbetale en kontant dusør og at give offentlig anerkendelse af bidraget. Dette belønner brugerne direkte for at rapportere en sikkerhedssårbarhed og opmuntrer dem til at gøre det rigtige.

Bug bounty-systemer er typisk åbne for alle. Enhver bruger, der identificerer en sikkerhedssårbarhed, kan rapportere den og få betaling. Der er dog nogle forbehold. For at blive betalt skal du generelt være den første person, der rapporterer et problem, selvom der nogle gange er sjældne undtagelser under ekstraordinære omstændigheder. Du skal også følge reglerne.

Reglerne for et bug bounty-system giver generel beskyttelse mod juridiske handlinger, hvis du holder dig inden for dem. De er ofte detaljerede, men relativt ligetil. Få ikke adgang til andres data, brug ikke sårbarheder ondsindet, og oplys dem privat og ansvarligt. Der kan også være nogle ting, der betragtes som off-limits.

Hvordan er belønningerne?

Realistisk set er belønningerne baseret på goodwill. Der er også et element af "hvis dette forårsagede et databrud, ville vi skulle betale en meget større bøde." Generelt betaler virksomheden, hvad der er et relativt lavt beløb for det. Dette kan dog være ret meget for reporteren. Nogle fejl kan blive betalt for mindre end hundrede dollars. I ekstreme tilfælde har nogle virksomheder dog betalt hundrede tusinde dollars for alvorlige sårbarheder. Selvfølgelig er de fleste dusører meget lavere end det.

Historisk set har bug bounties været meget lavere og nogle gange mere en simpel tak. At sende en gratis t-shirt ud eller give et gratis livstidsabonnement på tjenesten, for eksempel. Store teknologivirksomheder har dog styrket markedet, ligesom ankomsten af ​​bug bounty-platforme. Bug bounty-platforme er websteder, der er vært for mange klienters bug-bounty-programmer. De samler alt på ét sted. Dette gør det meget nemmere for en mindre organisation at køre et bug bounty-system. En af måderne, den gør dette på, er simpelthen ved at standardisere processen.

Selvfølgelig er belønningen i en bug-bounty meget mindre, end man kunne opnå ved at sælge fejlen på det sorte marked. Konceptet stoler på, at de fleste mennesker generelt ønsker at gøre det rigtige. Eller i det mindste ønsker de ikke, at risikoen for at bryde loven vender tilbage til at hjemsøge dem.

Konklusion

En bug bounty er et system til at betale en belønning for at finde og ansvarligt afsløre en sikkerhedssårbarhed. Det opfordrer aktivt brugerne til at teste og forbedre produkternes sikkerhed. Det bringer mange nye øjne til testprocessen, alt sammen med minimale omkostninger for virksomheden. Som en, der deltager i et bug bounty-system, er det selvfølgelig vigtigt at være forsigtig og forstå reglerne.

Hacking er ulovligt; bug bounty-programmet tillader at teste nogle ting, men inkluderer typisk begrænsninger. Hvis du ikke følger reglerne, kan du blive straffet ansvarlig. Hvis du følger reglerne, finder og rapporterer en fejl, kan du muligvis få en pæn udbetaling og øge sikkerheden for dig selv og andre brugere.