Video: What is the Reaction of Cats to No-Face!?│Cats VS Ghost (Ft. My Mom) (Novembre 2024)
Cosa ottieni quando metti degli hacker in una stanza e dai loro un elenco di siti Web target? Vanno a caccia di insetti!
È quello che è successo a Bug Bash 2013, un "hack-a-thon su Internet" gestito da Bugcrowd alla conferenza AppSec USA a New York all'inizio di questa settimana. Circa 80 persone hanno partecipato nel corso di tre serate e "centinaia" hanno partecipato a distanza su Internet, ha affermato Casey John Ellis, fondatore e CEO di Bugcrowd. I partecipanti hanno inviato i bug identificati a Bugcrowd e il team ha replicato le condizioni che hanno portato all'errore per confermare il problema.
L'elenco degli obiettivi includeva aziende come Facebook, Google, Etsy, Prezi e Yandex. I tester di sicurezza che hanno preso parte hanno identificato oltre 220 bug, ha detto Ellis. Per la maggior parte, i problemi riguardavano la banale varietà ordinaria, tra cui alcune vulnerabilità di iniezione e bypass.
"Non ho ancora sentito parlare di vulnerabilità esotiche, ma stiamo ancora analizzando i nostri dati", ha detto Ellis.
Bugcrowd prevede di rilasciare maggiori dettagli sul tipo di bug scoperti e informazioni sull'evento in un secondo momento. La startup con sede a San Francisco esegue programmi in cui gruppi di persone lavorano insieme per trovare bug nei siti Web e nelle applicazioni. Una volta confermato che i bug segnalati sono legittimi, gestisce il processo di notifica ai fornitori appropriati.
Taglie bug
I programmi di ricompensa dei bug stanno diventando sempre più popolari, poiché le aziende incoraggiano i ricercatori a inviare loro segnalazioni di bug direttamente, invece di venderli al governo o offrirli per sfruttare i broker. Non segnalare il bug al fornitore significa che l'acquirente può utilizzare queste vulnerabilità per i propri scopi e lasciare gli utenti non protetti da quel difetto del software.
Mozilla e Google probabilmente hanno i programmi di ricompensa dei bug più conosciuti, ma molte altre aziende ora offrono un qualche tipo di programma (un elenco lungo, ma non completo, è qui). Facebook ha annunciato ad agosto di aver pagato un milione di dollari in doni negli ultimi due anni.
Non tutti i bug si qualificano per questi programmi. Ad esempio, Facebook chiarisce che il loro programma copre solo questioni che potrebbero "compromettere l'integrità dei dati degli utenti di Facebook, eludere la protezione della privacy dei dati degli utenti di Facebook o consentire l'accesso a un sistema all'interno dell'infrastruttura di Facebook". Microsoft ha lanciato una serie di premi di recente ed è stato molto specifico nel tipo di problemi che stava cercando.
Bug Bash 2013
È difficile stimare a questo punto quanto valgono in totale i bug scoperti come parte di Bug Bash, poiché i programmi di ricompensa dei bug variano così ampiamente in quanto pagano. Alcuni programmi pagano diverse centinaia di dollari e altri pagano diverse migliaia di dollari. È anche importante notare che ogni azienda ha regole specifiche su ciò che riconoscono come un bug e quali tipi di problemi sono coperti dal programma di ricompensa dei bug.
Anche se sono stati inviati 220 bug, spetta al venditore decidere se i problemi si sono qualificati per un pagamento. E anche se c'è un pagamento, spetta anche al venditore decidere l'importo. Tuttavia, anche se ognuno degli oltre 200 bug vale solo poche centinaia di dollari, non è male per poche ore di lavoro in tre giorni.
Durante gli eventi i rappresentanti di Facebook sono stati anche a disposizione per fornire approfondimenti sui loro programmi di bug bounty e per rispondere alle domande dei partecipanti.
Le persone che erano state in sessioni di formazione apprendendo sulle diverse tecniche si stavano fermando per prendere parte all'hacking di gruppo, ha affermato Tom Brennan, membro del consiglio di amministrazione della OWASP Foundation e uno degli organizzatori di AppSec USA. Le persone collaboravano mentre lavoravano su obiettivi e si chiedevano aiuto gli uni dagli altri. La ricerca di bug non è un processo automatizzato in quanto richiede davvero alle persone di pensare a ciò che stanno vedendo e adeguare le loro tecniche di conseguenza. Un ambiente collaborativo in cui le persone possono rimbalzare le idee a vicenda può essere "molto efficace" per la caccia agli insetti, ha detto Brennan.