برنامه باگ باونتی
یک برنامه باگ بانتی به دلیل گزارش باگها، به خصوص باگهایی که باعث سو استفاده و آسیب پذیری میشوند، و اینکه در ازای گزارش این باگها افراد پاداش دریافت میکنند و یا به رسمیت شناخته میشوند، مورد توجه بسیاری از وب سایتها و توسعه دهندگان نرمافزاری قرار گرفتهاست [1].این برنامهها به توسعه دهندگان اجازه میدهند که باگها را قبل از اینکه عموم مردم از آنها مطلع شوند کشف کنند، و مانع از حوادثی چون سو استفاده گسترده شوند. برنامههای باگ بانتی توسط تعداد زیادی از سازمانها،از جمله Mozilla[2]، Facebook، Yahoo[3]، Google[4]، Reddit[5]، Square[6] و Microsoft[7] اجرا شدند. شرکتهای صنعتی که با تکنولوژی سر و کار چندانی ندارند، از جمله سازمانهای محافظه کار سنتی مانند وزارت دفاع امریکا، استفاده از برنامههای باگ بانتی را آغاز کردند[8]. استفاده پنتاگون از برنامههای باگ بانتی بخشی از برنامه تغییر دولت است و چندین آژانس دولتی آمریکا از این برنامه استفاده میکنند، بر طبق این برنامه از هکرهای کلاه سفید (در زمینه امنیت کامپیوتری) دعوت میشود تا در افشای آسیب پذیریهای امنیتی مشارکت کنند[9].
تاریخچه
Hunter & Ready اولین برنامه باگ بانتی را در سال 1983 برای سیستم عامل بلادرنگ چند منظوره معرفی کردند. هر کسی که یک باگ را پیدا میکرد و گزارش میداد یک فولکس واگن بیتل (aka Bug) به عنوان پاداش دریافت میکرد . کمی بیشتر از یک دهه قبل در سال 1995، Jarrett Ridlinghafer، یک مهندس پشتیبان فنی در شرکت ارتباطات Netscape عبارت 'Bugs Bounty' را بیان کرد.
Netscape کارمندان خود را تشویق کرد که همه تلاش خود را به کار گیرند و کاری که به آنها سپرده شدهاست را انجام دهند. Ridlinghafer تشخیص داد که Netscape علاقهمندان و مبشرینی برای محصولات خود دارد، که به نظر میرسید که حتی برخی از آنها نسبت به Mosaic/Netscape/Mozilla browser، تعصب داشتند. او پدیده را در جزییات بیشتری بررسی کرد و با بسیاری از علاقهمندان Netscape مواجه شد، بیشتر این علاقهمندان مهندسین نرمافزاری بودند که باگهای محصول را برطرف میکردند و اصلاحات و راه حلها را به طریق زیر منتشر میکردند:
- در انجمنهای خبری که توسط بخش پشتیبان فنی Netscape برای توانمندسازی "کمک از طریق همکاری" راه اندازی شدهاست (مورد دیگر ایده Ridlinghafer در طول دوره چهار ساله Netscape)، یا
- در وب سایت غیر رسمی "Netscape U-FAQ"، که هر کسی در آن باگ و ویژگیهای مرورگر را میشناسد، و ابزارهای مرتبط با راه حلها و برطرف کردن مشکل نیز در این وب سایت آورده شدهاست.
Ridlinghafer به این فکر کرد که کمپانی باید بر این منابع نفوذ کند و پیشنهادی را برای "برنامه باگ بانتی Netscape" نوشت، و به مدیران ارائه داد، و Ridlinghafer این پیشنهاد را در ملاقات بعدی تیم اجرایی بیان کرد.
در ملاقات بعدی تیم اجرایی، که James Barksdale, Marc Andreessen و سرپرستهای هر بخش و از جمله مهندسین تولید در آن حضور داشتند، به هر عضو یک کپی از طرح "برنامه باگ بانتی Netscape" داده شد و Ridlinghafer به ارائه ایده تیم اجرایی Netscape تشویق شد.
هر کسی در این ملاقات این طرح را پذیرفت به جز سرپرست مهندسین، چرا که او معتقد بود نباید زمان و منابع را هدر داد. به هر حال، سرپرست مهندسین این ایده را رد کرد و Ridlinghafer یک بودجه $50k را به اجرای پیشنهاد تخصیص داد و اولین برنامه "باگ بانتی" در سال 1995 راه اندازی شد [10][11].
این برنامه یک موفقیت گسترده است که در بسیاری از موفقیتهای Netscape نقش داشتهاست.
نقض سیاست افشای آسیب پذیری
در آگوست سال 2013، یک دانشجوی علوم کامپیوتر به نام Khalil در تایم لاین وب سایت فیس بوک که موسس آن مارک زوکربرگ بود، پستی ارسال کرد. بر طبق گفته هکرها او در این پست برای گزارش یک آسیب پذیری با استفاده از برنامه باگ بانتی فیس بوک تلاش کرد، اما به دلیل گزارش ناقص او، به او گفته شد که گزارش او در حقیقت یک باگ نیست [12].
فیس بوک پژوهشگرانی را به این کار گمارد که باگهای امنیتی را پیدا کنند، و برای این پژوهشگران کارتهای اعتباری به نام “White Hat” صادر کرد و هر بار که محققین نقض جدیدی را پیدا میکردند به اعتبار این کارت افزوده میشد. "محققینی که باگها را پیدا میکنند و امنیت را بهبود میبخشند نادر هستند، و ما آنها را ارج مینهیم و باید راههایی را برای پاداش دادن به انها پیدا کنیم". Ryan McGeehan، مدیر سابق تیم امنیتی فیس بوک، در مصاحبه خود با CNET گفت، "داشتن کارت مشکی انحصاری روش دیگری برای شناخت این پژوهشگران است. آنها میتوانند در کنفرانس کارت خود را نشان دهند و بگویند " من کار خاصی را برای فیس بوک انجام داده ام". [13]. در سال 2014، فیس بوک صدور کارت اعتباری برای محققین را متوقف کرد.
در سال 2016، کمپانی ride sharing به نام Uber زمانی که فردی به اطلاعات شخصی 57 میلیون کاربر Uber در سراسر جهان دست یافت، یک حادثه امنیتی را تجربه کرد. این افراد ظاهراً مبلغ $100,000 در ازای نابودی داده کاربران طلب کردند. در کنگره، Uber CISO بیان کرد که کمپانی به دلیل نابودی دادهها متحمل $100,000 خسارت شد [14]. آقای Flynn از اینکه Uber این حادثه را در سال 2016 افشا نکرد ابراز پشیمانی کرد. به عنوان بخشی از پاسخ آنها به این حادثه، Uber با HackerOne برای به روز رسانی سیاستهای برنامه باگ بانتی، برای توضیح بیشتر تحقیقات و افشای آُسیب پذیری کار کردند[15].
هند، که جز اولین یا دومین شکارچیان بزرگ باگ در جهان است، بسته به شهری که از آن گزارش میدهد [16]، برنامه باگ بانتی فیس بوک را با تعداد بزرگتری باگ معتبر گزارش داد . " هند در راس تعداد ناشران معتبر در سال 2017 قرار گرفت، بعد از آن، ایالات متحده و Trinidad & Tobago دوم و سوم بودند"، و فیس بوک این مطلب را در پستی اعلام کرد. .
Yahoo! به شدت برای ارسال تیشرتهای Yahoo! به عنوان پاداش به پژوهشگران امنیتی در ازای یافتن و گزارش آسیب پذیریهای امنیتی در Yahoo! مورد انتقاد قرار گرفت، و جرقه چیزی به نام T-shirt-gate زده شد [17]. High-Tech Bridge، یک Geneva، یک کمپانی تست امنیت سوئیسی نشریهای را منتشر کرد که بیان میکرد که Yahoo! $12.50 اعتبار را برای هر آسیب پذیری پاداش میدهد، که این اعتبار میتواند برای خرید آیتمهایی با برند Yahoo مانند تیشرت، فنجان و خودکار از مغازه استفاده شود. Ramses Martinez، مدیر تیم امنیتی Yahoo' بعدها در پست وبلاگ خود ادعا کرد که او حامی برنامه پاداش کوپنی است، و اساساً هزینه این کار را از جیب خود پرداخت کرد. در نهایت، Yahoo! برنامه باگ بانتی جدید خود را در 31 اکتبر همان سال راه اندازی کرد، که به محققین امنیتی اجازه داد که باگهای خود را ارسال کنند و پاداشی بین $250 و $15,000، بسته به شدت باگ کشف شده دریافت کنند .
برنامههای قابل توجه
در اکتبر سال 2013، گوگل تغییرات اصلی را در برنامه پاداش آسیب پذیری خود اعلام کرد. این یک برنامه باگ بانتی است که بسیاری از محصولات گوگل را پوشش میدهد. با تغییر، برنامه برای شامل شدن مجموعه ای از اپلیکیشنهای نرمافزاری مستثنی از ریسک و کتابخانهها بسط داده شد، که در درجه اول برای شبکه بندی یا برای عملکرد سیستمهای سطح پایین طراحی شد. مقالاتی که گوگل با رهنمودهای آن موافق است مستلزم پاداشی از $500 تا $3133.70 بودند [18]. در سال 2017، Google برنامه خود را برای پوشش آسیب پذیریهایی که در اپلیکیشن توسعه یافته توسط شخص ثالث یافتهاست بسط داد و آن را از طریق Google Play Store[19] در دسترس قرار داد.
بهطور مشابه، Microsoft and Facebook در نوامبر سال 2013 برای حمایتگری مالی با هم همکاری کردند. باگ بانتی اینترنت، یک برنامه برای ارائه پاداش برای گزارش دهی هکها است و از یک طیف وسیع نرمافزارهای مرتبط با اینترنت استفاده کردهاست[20]. در سال 2017، بنیاد GitHub و Ford اسپانسر طرحها بودند، که توسط داوطلبانی از Uber, Microsoft, Facebook, Adobe, and HackerOne مدیریت شدند[21]. نرمافزار تحت پوشش IBB شامل Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server و Phabricator هستند. علاوه بر این، برنامه پاداشی را برای استفاده گستردهتر از مواردی که به صورت گسترده از سیستم عاملها و مرورگرهای وب و اینترنت در کل استفاده میکرد پیشنهاد داد [22].
در مارس سال 2016، Peter Cook اولین برنامه باگ بانتی دولت فدرال، به نام برنامه "Hack the Pentagon" را معرفی کرد [23]. برنامه از 18 آوریل تا 12 می اجرا شد و بیش از 1400 نفر 138 گزارش منحصر را از طریق HackerOne ارسال کردند. در مجموع؛ وزارت دفاع آمریکا $71,200 پرداخت کرد [24]. در ژانویه، وزیر دفاع، Ash Carter با دو شرکت کننده، David Dworken و Craig Arendt ملاقات کرد، و به آنها افتخار شرکت در برنامه را داد.[25]
Open Bug Bounty یک برنامه باگ بانتی امنیت جمعیت است که در سال 2014 ایجاد شدهاست که به افراد اجازه میدهد که آسیب پذیریهای امنیتی وب سایت را به امید پاداش گرفتن از اپراتورهای وب سایت مربوطه، ارسال کنند.
منابع
- "Bug Bounty - Hacker Powered Security Testing | HackerOne". HackerOne. Retrieved 2018-07-02.
- "Mozilla Revamps Bug Bounty Program | SecurityWeek.Com". www.securityweek.com. Retrieved 2018-07-02.
- "Vulnerability disclosure for Yahoo!". HackerOne. Retrieved 2018-07-02.
- "Program Rules – Application Security – Google". www.google.com. Retrieved 2018-07-02.
- «whitehat - reddit.com». www.reddit.com. دریافتشده در ۲۰۱۸-۰۷-۰۲.
- "HackerOne". HackerOne. Retrieved 2018-07-02.
- «Microsoft Announces Windows Bug Bounty Program and Extension of Hyper-V Bounty Program» (به انگلیسی). xda-developers. ۲۰۱۷-۰۷-۲۶. دریافتشده در ۲۰۱۸-۰۷-۰۲.
- «The Pentagon Opened Up to Hackers—And Fixed Thousands of Bugs» (به انگلیسی). WIRED. دریافتشده در ۲۰۱۸-۰۷-۰۲.
- "Computer Crime and Intellectual Property Section (CCIPS) | Department of Justice". www.justice.gov. Retrieved 2018-07-02.
- «Press Release». ۱۹۹۷-۰۵-۰۱. دریافتشده در ۲۰۱۸-۰۷-۰۲.
- Richey, Erin. "CenturyLinkVoice: Why Companies Like Pinterest Run Bug Bounty Programs Through The Cloud". Retrieved 2018-07-02.
- «Hacker posts Facebook bug report on Zuckerberg's wall» (به انگلیسی). RT International. دریافتشده در ۲۰۱۸-۰۷-۰۲.
- "Facebook hands out White Hat debit cards to hackers". 2011-12-31. Retrieved 2018-07-02.
- "U.S. Senate Committee On Commerce, Science, & Transportation". Retrieved 2018-07-02.
- «Uber Tightens Bug Bounty Extortion Policies» (به انگلیسی). Threatpost | The first stop for security news. دریافتشده در ۲۰۱۸-۰۷-۰۲.
- «Bug hunters aplenty but respect scarce for white hat hackers in India | FactorDaily» (به انگلیسی). FactorDaily. ۲۰۱۸-۰۲-۰۸. دریافتشده در ۲۰۱۸-۰۷-۰۲.
- Osborne, Charlie. "Yahoo changes bug bounty policy following 't-shirt gate' | ZDNet". Retrieved 2018-07-02.
- «Google offers "leet" cash prizes for updates to Linux and other OS software» (به انگلیسی). Ars Technica. دریافتشده در ۲۰۱۸-۰۷-۰۲.
- «Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play». The Verge. دریافتشده در ۲۰۱۸-۰۷-۰۲.
- «Now there's a bug bounty program for the whole Internet» (به انگلیسی). Ars Technica. دریافتشده در ۲۰۱۸-۰۷-۰۲.
- «Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure» (به انگلیسی). VentureBeat. ۲۰۱۷-۰۷-۲۱. دریافتشده در ۲۰۱۸-۰۷-۰۲.
- "Open Source Bug Bounty Programs | HackerOne". HackerOne. Retrieved 2018-07-02.
- «United States Department of Defense». www.defense.gov (به انگلیسی). دریافتشده در ۲۰۱۸-۰۷-۰۲.
- "Government - Hack The Pentagon - Hacker Powered Security Testing | HackerOne". HackerOne. Retrieved 2018-07-02.
- «18-year-old hacker honored at Pentagon». Stars and Stripes. دریافتشده در ۲۰۱۸-۰۷-۰۲.