Hva er en Bug Bounty?

Med hvor kompleks programvare er, er det utfordrende å sikre at det ikke er noen feil. Dette er rett og slett måten ting er menneskeskapte og svært komplekse. For å minimere problemet inkluderer programvareutviklingsselskaper kodeanmeldelser i livssyklusen for programvareutvikling. Men selv en nøye ekspertvurdering kan ikke fange opp alt. Selve sanntids- og budsjettbegrensningene forverrer dette. På grunn av dette kommer bugs til produksjonssystemer. Noen feil har liten eller ingen effekt, men andre kan introdusere ekle sikkerhetssårbarheter.

En sikkerhetssårbarhet er en klasse av feil som påvirker systemets sikkerhet på en eller annen måte. Det er et bredt spekter av mulige resultater, men til syvende og sist er alle sikkerhetssårbarheter dårlige for alle. Dessverre kan det være vanskelig og tidkrevende å finne feil. Mens utviklere bare kan bruke en begrenset mengde tid på å teste for feil, bruker en annen gruppe sammen mye mer tid på å bruke applikasjonen – brukerne.

Brukere av et system, til sammen, bruker enormt mye mer tid på et system enn utviklerne av det systemet noen gang kunne. De bruker også et mye bredere utvalg av enheter. Kombinert gjør dette det perfekte miljøet for å finne feil – mange øyne og kantene.

Sette brukerne i arbeid

Den tradisjonelle måten å bruke brukere til å løse feil er å ha en feilrapporteringsfunksjon som lar brukere rapportere en feil de støter på. Utviklerne kan bruke denne informasjonen til å replikere, identifisere og rette opp problemet. Problemet er at det er et minimalt insentiv for brukeren til å rapportere eventuelle problemer. Det er en prosess som tar tid, har potensielle personvernimplikasjoner, og vanligvis ikke resulterer i noen tilbakemelding, selv om problemet er løst.

Sikkerhetssårbarheter er enda verre. En ondsinnet bruker kan velge å bruke en sårbarhet de finner aktivt. Avhengig av problemstillingen kan det være mulig å få tilgang til noe verdifullt, enten på det svarte markedet eller gjennom løsepenger eller utpressing. Alternativt er det mulig å selge kunnskap om sårbarheten på det svarte markedet. Uansett er brukere ikke motivert til å rapportere feil, og de blir ikke motivert til å rapportere sikkerhetssårbarheter.

Snu på bordet

Et bug bounty-system er en måte å snu tabellen på for å oppmuntre til aktiv rapportering av sikkerhetsproblemer. Metoden er enkel, og belønner dem. Standardmetoden er å betale en pengepremie og å gi offentlig anerkjennelse av bidraget. Dette belønner brukere direkte for å rapportere et sikkerhetssårbarhet og oppmuntrer dem til å gjøre det rette.

Bug bounty-systemer er vanligvis åpne for alle. Enhver bruker som identifiserer et sikkerhetssårbarhet kan rapportere det og få betalt. Det er imidlertid noen forbehold. For å bli betalt, må du vanligvis være den første personen som rapporterer et problem, selv om det noen ganger er sjeldne unntak i eksepsjonelle omstendigheter. Du må også følge reglene.

Reglene for et bug-bounty-system gir generell beskyttelse mot rettslige skritt hvis du holder deg innenfor dem. De er ofte detaljerte, men relativt enkle. Ikke få tilgang til andres data, ikke bruk sårbarheter med ondsinnethet, og avslør dem privat og ansvarlig. Det kan også være noen ting som anses som forbudt.

Hvordan er belønningene?

Realistisk sett er belønningene basert på goodwill. Det er også et element av "hvis dette forårsaket et datainnbrudd, ville vi måtte betale en mye større bot." Generelt betaler selskapet det som er et relativt lavt beløp for det. Dette kan imidlertid være ganske mye for reporteren. Noen feil kan bli betalt for mindre enn hundre dollar. I ekstreme tilfeller har noen selskaper imidlertid betalt hundre tusen dollar for alvorlige sårbarheter. Selvfølgelig er de fleste dusørene mye lavere enn det.

Historisk sett har bug-bounties vært mye lavere og noen ganger mer en enkel takk. Sende ut en gratis t-skjorte eller gi et gratis livstidsabonnement på tjenesten, for eksempel. Store teknologiselskaper har imidlertid styrket markedet, og det samme har ankomsten av bug bounty-plattformer. Bug bounty-plattformer er nettsteder som er vert for bug-bounty-programmene til mange klienter. De samler alt på ett sted. Dette gjør det mye enklere for en mindre organisasjon å kjøre et bug bounty-system. En av måtene det gjør dette på er ganske enkelt ved å standardisere prosessen.

Selvfølgelig er belønningen i en bug-bounty mye mindre enn man kan oppnå ved å selge feilen på det svarte markedet. Konseptet stoler på at de fleste generelt ønsker å gjøre det rette. Eller i det minste vil de ikke at risikoen for å bryte loven skal hjemsøke dem igjen.

Konklusjon

En bug bounty er et system for å betale en belønning for å finne og ansvarlig avsløre en sikkerhetssårbarhet. Den oppfordrer aktivt brukere til å teste og forbedre sikkerheten til produktene. Det bringer mange nye øyne til testprosessen, alt til minimal kostnad for selskapet. Selvfølgelig, som noen som deltar i et bug-bounty-system, er det viktig å være forsiktig og forstå reglene.

Hacking er ulovlig; bug bounty-programmet tillater testing av noen ting, men inkluderer vanligvis begrensninger. Hvis du ikke følger reglene, kan du bli strafferettslig ansvarlig. Hvis du følger reglene, finner og rapporterer en feil, kan du få en god utbetaling og øke sikkerheten for deg selv og andre brukere.