Mikä on Bug Bounty?

Ohjelmiston monimutkaisuuden vuoksi on haastavaa varmistaa, ettei siinä ole virheitä. Tämä on yksinkertaisesti ihmisten suunnittelemien ja erittäin monimutkaisten asioiden tapa. Ongelman minimoimiseksi ohjelmistokehitysyritykset sisällyttävät kooditarkistukset ohjelmistokehityksen elinkaareen. Mutta edes huolellinen asiantuntija-arvio ei voi saada kaikkea kiinni. Hyvin reaaliaikaiset ja budjettirajoitukset pahentavat tätä. Tämän vuoksi virheet pääsevät tuotantojärjestelmiin. Joillakin bugeilla on vain vähän tai ei ollenkaan vaikutusta, mutta toiset voivat tuoda ikäviä tietoturva-aukkoja.

Tietoturvahaavoittuvuus on virheluokka, joka vaikuttaa jollakin tavalla järjestelmän turvallisuuteen. Mahdollisia tuloksia on monenlaisia, mutta lopulta kaikki tietoturvahaavoittuvuudet ovat haitallisia kaikille. Valitettavasti vikojen löytäminen voi olla vaikeaa ja aikaa vievää. Vaikka kehittäjät voivat käyttää vain rajoitetun ajan virheiden testaamiseen, toinen ryhmä yhdessä viettää paljon enemmän aikaa sovelluksen käyttämiseen – käyttäjät.

Järjestelmän käyttäjät yhteensä viettävät valtavasti enemmän aikaa järjestelmään kuin järjestelmän kehittäjät koskaan pystyisivät. He käyttävät myös paljon laajempaa valikoimaa laitteita. Yhdessä tämä muodostaa täydellisen ympäristön vikojen löytämiseen – monet silmät ja reunakotelot.

Käyttäjien laittaminen töihin

Perinteinen tapa käyttää käyttäjiä virheiden ratkaisemiseen on jokin virheraportointitoiminto, jonka avulla käyttäjät voivat ilmoittaa havaitsemistaan ​​virheistä. Kehittäjät voivat käyttää näitä tietoja ongelman kopioimiseen, tunnistamiseen ja korjaamiseen. Ongelmana on, että käyttäjällä on minimaalinen kannustin ilmoittaa ongelmista. Se on prosessi, joka vie aikaa, voi vaikuttaa yksityisyyteen, eikä se yleensä johda palautteeseen, vaikka ongelma olisi korjattu.

Tietoturvahaavoittuvuudet ovat vielä pahempia. Haitallinen käyttäjä voi halutessaan käyttää löytämäänsä haavoittuvuutta aktiivisesti. Asiasta riippuen voi olla mahdollista saada käsiksi jotain arvokasta joko mustilla markkinoilla tai lunnaiden tai kiristyksen kautta. Vaihtoehtoisesti on mahdollista myydä tietoa haavoittuvuudesta mustilla markkinoilla. Joka tapauksessa käyttäjiä ei kannusteta ilmoittamaan virheistä, eikä heitä kannusteta ilmoittamaan tietoturva-aukoista.

Pöytien kääntäminen

Virhepalkkiojärjestelmä on tapa kääntää pöytiä ja rohkaista raportoimaan tietoturvaongelmista aktiivisesti. Menetelmä on yksinkertainen ja palkitsee heidät. Vakiomenetelmänä on maksaa rahapalkkio ja antaa julkinen vahvistus lahjoituksesta. Tämä palkitsee suoraan käyttäjiä tietoturvahaavoittuvuuden ilmoittamisesta ja rohkaisee heitä toimimaan oikein.

Bug bounty -järjestelmät ovat tyypillisesti avoimia kaikille. Jokainen käyttäjä, joka tunnistaa tietoturvahaavoittuvuuden, voi ilmoittaa siitä ja saada maksun. Joitakin varoituksia on kuitenkin. Maksun saamiseksi sinun on yleensä oltava ensimmäinen, joka ilmoittaa ongelmasta, vaikka joskus on harvinaisia ​​poikkeuksia poikkeuksellisissa olosuhteissa. Sinun on myös noudatettava sääntöjä.

Virhepalkkiojärjestelmän säännöt tarjoavat kattavan suojan oikeustoimilta, jos pysyt niiden sisällä. Ne ovat usein yksityiskohtaisia, mutta suhteellisen yksinkertaisia. Älä käytä muiden ihmisten tietoja, älä käytä haavoittuvuuksia haitallisesti ja paljasta niitä yksityisesti ja vastuullisesti. Saattaa myös olla joitain asioita, joita pidetään kiellettyinä.

Millaisia ​​palkinnot ovat?

Realistisesti palkkiot perustuvat hyvään tahtoon. Siinä on myös elementti "jos tämä aiheutti tietomurron, joutuisimme maksamaan paljon suuremman sakon". Yleensä yritys maksaa siitä suhteellisen pienen summan. Tämä voi kuitenkin olla toimittajalle paljon. Joistakin bugeista voidaan maksaa alle sata dollaria. Äärimmäisissä tapauksissa jotkut yritykset ovat kuitenkin maksaneet satatuhatta dollaria vakavista haavoittuvuuksista. Tietenkin useimmat palkkiot ovat paljon pienempiä.

Historiallisesti bugipalkkiot ovat olleet paljon pienempiä ja joskus enemmänkin yksinkertaisia ​​kiitosta. Esimerkiksi ilmaisen t-paidan lähettäminen tai ilmainen elinikäinen tilaus palveluun. Suuret teknologiayritykset ovat kuitenkin lisänneet markkinoita, kuten myös bug bounty -alustojen saapuminen. Bug bounty -alustat ovat verkkosivustoja, jotka isännöivät monien asiakkaiden bug bounty -ohjelmia. He ryhmittelevät kaiken yhteen paikkaan. Tämä tekee pienemmän organisaation paljon helpommaksi käyttää virhepalkkiojärjestelmää. Yksi tavoista tehdä tämä on yksinkertaisesti prosessin standardointi.

Tietysti palkkio bugipalkkiosta on paljon pienempi kuin mitä voitaisiin saavuttaa myymällä bugi mustilla markkinoilla. Konsepti luottaa siihen, että yleensä useimmat ihmiset haluavat tehdä oikein. Tai ainakaan he eivät halua lain rikkomisen riskin palaavan kummittelemaan heitä.

Johtopäätös

Virhepalkkio on järjestelmä, jossa maksetaan palkkiota tietoturva-aukkojen löytämisestä ja vastuullisesta paljastamisesta. Se kannustaa käyttäjiä aktiivisesti testaamaan ja parantamaan tuotteiden turvallisuutta. Se tuo monia uusia näkökulmia testausprosessiin, kaikki minimaalisin kustannuksin yritykselle. Vikapalkkiojärjestelmään osallistuvana on tietysti tärkeää olla varovainen ja ymmärtää säännöt.

Hakkerointi on laitonta; bug bounty -ohjelma sallii joidenkin asioiden testaamisen, mutta sisältää tyypillisesti rajoituksia. Jos et noudata sääntöjä, saatat joutua rikosoikeudelliseen vastuuseen. Jos noudatat sääntöjä, löydät virheen ja ilmoitat siitä, saatat saada mukavan maksun ja lisätä turvallisuutta itsellesi ja muille käyttäjille.