Video: Bug Bounty Hunting - Tools I Use (Novembre 2024)
Supponi di essere un editore di software con una presenza globale. Una falla nella sicurezza di uno dei tuoi prodotti che consente ai malintenzionati di rubare informazioni private o controllare in remoto un PC vittima potrebbe avere conseguenze di vasta portata. Se qualcuno scoprisse un tale buco, preferiresti di gran lunga parlarti piuttosto che vendere le informazioni sul mercato nero della criminalità informatica, giusto? I programmi "Bug bounty" hanno lo scopo di incoraggiare questo tipo di condivisione premiando coloro che hanno scoperto falle nella sicurezza con denaro, fama o entrambi, e sono più comuni di quanto tu possa immaginare.
Taglie abbondanti
Il programma di bug bounty di Yahoo ha fatto notizia all'inizio di questa settimana. Un gruppo di ricercatori svizzeri che hanno studiato il programma ha iniziato cercando tre gravi bug di scripting cross-site sui siti Web Yahoo, falle di sicurezza che potrebbero consentire a un utente malintenzionato di rilevare l'account e-mail Yahoo di una vittima. (Trovare quei bug li ha portati circa un giorno - spaventoso!). Dopo aver verificato il rapporto, Yahoo ha offerto $ 12, 50 per ogni bug, riscattabili per lo swag presso il negozio dell'azienda.
Quella ricompensa è sembrata pervasa a molti. Il contraccolpo di questo rapporto è stato abbastanza significativo che Yahoo ha annunciato un cambiamento, qualcosa su cui stavano già lavorando. Il nuovo programma di ricompensa dei bug ricompenserà i ricercatori che segnalano un bug verificato con denaro, non swag, per un importo compreso tra $ 150 e $ 15.000, con l'importo esatto determinato da una formula chiara e predefinita. Il nuovo programma dovrebbe essere operativo entro la fine di questo mese, ma è retroattivo al 1 ° luglio.
Pensi di aver trovato una falla nella sicurezza che potrebbe valere qualcosa? Il sito web bugcrowd elenca tutti gli attuali programmi di ricompensa dei bug, separandoli in quelli che offrono ricompensa, fama più swag, solo fama o nessuna ricompensa. Fare clic sul collegamento per un determinato prodotto o servizio per visitare la sua pagina di report.
Facebook, ad esempio, offre un premio minimo di $ 500, senza un massimo prestabilito. Ad agosto, Facebook aveva pagato oltre un milione di dollari in tali doni.
I pagamenti da Google per i bug verificati seguono una tabella di valori ben definita. Questi vanno da $ 100 per un difetto Web comune su un sito Google a bassa priorità a $ 20.000 per una vulnerabilità legata all'esecuzione di codice in modalità remota in un servizio altamente sensibile. In un cenno al "parodia", alcuni tipi arrivano con una ricompensa di $ 1337.
Microsoft è diversa
Microsoft offre ai ricercatori $ 100.000, o anche di più, per lavori che migliorano la sicurezza, ma si scopre che il programma Microsoft non è precisamente una ricompensa di bug. Katie Moussouris, senior stratega della sicurezza responsabile di Microsoft Trustworthy Computing, ha spiegato la differenza.
"La taglia di bypass di mitigazione da $ 100.000 di Microsoft richiede ai partecipanti di presentare tecniche di sfruttamento davvero nuove rispetto alla nostra ultima piattaforma Windows", ha affermato Moussouris, "in modo da poter migliorare le nostre difese su tutta la piattaforma. Nuove tecniche di sfruttamento sono più difficili da trovare rispetto alle vulnerabilità individuali e conoscere ci aiuteranno a proteggere i clienti da intere classi di attacchi per migliorare la sicurezza a passi da gigante, anziché affrontare una vulnerabilità alla volta ". Ha concluso: "Incoraggiamo i ricercatori a leggere le linee guida dei nostri programmi di ricompensa su www.microsoft.com/bountyprograms e inviare i loro invii a [email protected]".
Un ricercatore che non solo segnala una nuova tecnica di sfruttamento ma fornisce anche idee per la difesa può beneficiare di un bonus BlueHat aggiuntivo da $ 50.000. E ricorda, nel 2012 Microsoft ha pagato oltre un quarto di milione ai vincitori del concorso BlueHat Prize.
Ci vuole molta esperienza e un pizzico di genio per qualificarsi per la ricompensa di Microsoft. La sicurezza è spesso un gioco da gatto e topo, mentre i criminali escogitano nuovi attacchi e i difensori rispondono con nuovi segnalini a quegli attacchi. Venire con nuove tecniche di sfruttamento (e difese contro di loro) prima che i cattivi facciano la difesa in testa. Come utente di Windows, saluto i destinatari. Grazie ragazzi!