Glede na to, kako zapletena je programska oprema, je težko zagotoviti, da ni nobenih napak. To je preprosto pot stvari, ki jih je oblikoval človek in so zelo zapletene. Da bi zmanjšali težavo, podjetja za razvoj programske opreme vključujejo preglede kode v svoj življenjski cikel razvoja programske opreme. A tudi skrben strokovni pregled ne more zajeti vsega. Zelo realnočasovne in proračunske omejitve to še poslabšajo. Zaradi tega si hrošči pridejo do proizvodnih sistemov. Nekateri hrošči imajo majhen ali nič učinka, drugi pa lahko povzročijo neprijetne varnostne ranljivosti.
Varnostna ranljivost je vrsta hroščev, ki na nek način vplivajo na varnost sistema. Obstaja širok razpon možnih rezultatov, vendar so na koncu vse varnostne ranljivosti slabe za vse. Na žalost je lahko iskanje hroščev težavno in dolgotrajno. Medtem ko lahko razvijalci porabijo le omejeno količino časa za testiranje hroščev, druga skupina skupaj porabi veliko več časa za uporabo aplikacije – uporabniki.
Uporabniki sistema skupaj porabijo veliko več časa za sistem, kot bi lahko razvijalci tega sistema. Uporabljajo tudi veliko več naprav. Skupaj je to popolno okolje za iskanje hroščev – veliko oči in robov.
Spravite uporabnike v delo
Tradicionalni način uporabe uporabnikov za odpravljanje hroščev je funkcija poročanja o napakah, ki uporabnikom omogoča, da poročajo o hrošču, na katerega naletijo. Razvijalci lahko te informacije uporabijo za ponovitev, identifikacijo in odpravo težave. Težava je v tem, da obstaja minimalna spodbuda za uporabnika, da prijavi morebitne težave. To je postopek, ki traja nekaj časa, lahko vpliva na zasebnost in na splošno ne povzroči nobenih povratnih informacij, tudi če je težava odpravljena.
Varnostne ranljivosti so še hujše. Zlonamerni uporabnik se lahko odloči za aktivno uporabo ranljivosti, ki jo najde. Odvisno od zadeve je morda mogoče pridobiti dostop do nečesa dragocenega na črnem trgu ali z odkupnino ali izsiljevanjem. Druga možnost je, da znanje o ranljivosti prodajate na črnem trgu. Kakor koli že, uporabniki niso spodbujeni k poročanju o napakah in odvračajo od poročanja o varnostnih ranljivostih.
Obračanje mize
Sistem nagrad za hrošče je način, kako obrniti ploščo in spodbuditi aktivno poročanje o varnostnih težavah. Metoda je preprosta, nagrajevanje. Standardna metoda je plačilo denarne nagrade in javna potrditev prispevka. To uporabnike neposredno nagradi za poročanje o varnostni ranljivosti in jih spodbudi, da naredijo pravo stvar.
Sistemi nagrad za napake so običajno odprti za vsakogar. Vsak uporabnik, ki prepozna varnostno ranljivost, jo lahko prijavi in prejme plačilo. Vendar obstaja nekaj opozoril. Če želite prejeti plačilo, morate na splošno biti prva oseba, ki prijavi težavo, čeprav včasih obstajajo redke izjeme v izjemnih okoliščinah. Upoštevati je treba tudi pravila.
Pravila sistema nagrajevanja hroščev zagotavljajo popolno zaščito pred sodnimi postopki, če jih ne upoštevate. Pogosto so podrobni, a razmeroma enostavni. Ne dostopajte do podatkov drugih ljudi, ne zlorabljajte ranljivosti in jih razkrivajte zasebno in odgovorno. Obstajajo lahko tudi nekatere stvari, ki se štejejo za prepovedane.
Kakšne so nagrade?
Realno gledano, nagrade temeljijo na dobri volji. Obstaja tudi element, "če bi to povzročilo kršitev podatkov, bi morali plačati veliko višjo kazen." Na splošno podjetje zanj plača razmeroma nizek znesek. To pa je lahko za novinarja kar veliko. Nekateri hrošči so lahko plačani za manj kot sto dolarjev. V skrajnih primerih pa so nekatera podjetja plačala sto tisoč dolarjev za resne ranljivosti. Seveda je večina nagrad veliko nižja od tega.
V preteklosti so bile nagrade za hrošče veliko nižje in včasih bolj kot preprosta zahvala. Na primer pošiljanje brezplačne majice s kratkimi rokavi ali zagotavljanje brezplačne doživljenjske naročnine na storitev. Vendar so velika tehnološka podjetja okrepila trg, kot tudi prihod platform za nagrajevanje napak. Platforme za nagrajevanje hroščev so spletna mesta, ki gostijo programe nagrajevanja hroščev številnih strank. Vse združijo na eno mesto. To manjšim organizacijam veliko olajša izvajanje sistema nagrad za napake. Eden od načinov, kako to stori, je preprosta standardizacija postopka.
Seveda je nagrada v nagradi za hrošče veliko manjša, kot bi jo lahko dosegli s prodajo hrošča na črnem trgu. Koncept verjame, da na splošno večina ljudi želi narediti pravo stvar. Ali pa vsaj ne želijo, da bi jih ponovno preganjalo tveganje kršitve zakona.
Zaključek
Nagrada za hrošče je sistem plačila nagrade za odkritje in odgovorno razkritje varnostne ranljivosti. Uporabnike aktivno spodbuja k testiranju in izboljšanju varnosti izdelkov. Prinaša veliko novih oči v proces testiranja, vse z minimalnimi stroški za podjetje. Seveda je kot nekdo, ki sodeluje v sistemu nagrajevanja hroščev, bistvenega pomena biti previden in razumeti pravila.
Vdiranje je nezakonito; bug bounty program dovoljuje testiranje nekaterih stvari, vendar običajno vključuje omejitve. Če ne upoštevate pravil, ste lahko kazensko odgovorni. Če upoštevate pravila, poiščete in prijavite napako, lahko dobite lepo plačilo in povečate varnost zase in za druge uporabnike.
