Сав софтвер има грешке или недостатке који узрокују проблеме. Они се крећу од баналних проблема који ни на који начин не утичу на перформансе софтвера, до озбиљних безбедносних пропуста.
Грешке може бити тешко уочити, због чега многе технолошке компаније имају програме за награђивање грешака. Али шта су заправо програми за откривање грешака? Како функционишу и како помажу у побољшању безбедности производа?
Како функционишу програми за откривање грешака
Компаније покрећу програме за награђивање грешака како би их подстакле хакери са белим шеширима да траже безбедносне рупе и сличне пропусте у софтверу. Обично постоји више него пристојна новчана награда за оне који открију грешку, ма колико она обичном човеку изгледала безначајно.
И нису само мале, перспективне компаније те које имају програме за награђивање грешака. У ствари, већина технолошких гиганата их води, укључујући Гоогле, Мицрософт, Фацебоок и Аппле. Детаљи о овим програмима се обично могу наћи на званичном сајту компаније. Чешће него не, постоји неколико нивоа или категорија. Али у принципу, што је грешка значајнија, то је већа награда.
Једном када хакер са белим шеширима открије грешку, они подносе детаљан извештај о откривању података који објашњава шта су пронашли. Инжењери компаније затим прегледају и истражују поднесак, а ако се резултати истраживача покажу тачним и корисним, они бивају обавештени и добијају новчану награду.
Овај систем функционише и за компаније и за независне истраживаче. Из перспективе било које компаније, боље је да етички хакер открије грешку него актер претње, који би највероватније наставио са искористите га пре него што се закрпи, потенцијално изазивајући милионску штету. Хакери, с друге стране, праве добар део промене учествујући у програмима за награђивање грешака — неки чак зарађују и сталне приходе откривајући рањивости софтвера.
Примери програма за откривање грешака који побољшавају безбедност софтвера
Добро је знати како теоретски функционишу програми за награђивање грешака, али хајде да погледамо неколико стварних примера компанија које исплаћују огромне суме хакерима са белим шеширима.
У сарадњи са платформом за буг Боунти Иммунефи, децентрализованом блоцкцхаин бридге платформом Вормхоле покренуо је у фебруару 2022. програм награда који нуди 10 милиона долара свакоме ко открије критичну сигурност буг. Убрзо је један хакер са белим шеширима који је користио псеудоним сатиа0к открио. Како је Иммунефи објаснио у а Средње пост, грешка је могла да доведе до закључавања корисничких средстава, па је сатиа0к добио 10 милиона долара за откривање.
Такође у фебруару 2022. берза криптовалута Цоинбасе платио награду од 250.000 долара независном истраживачу за откривање велике грешке у интерфејсу за трговање платформе.
Аурора Лабс, компанија која стоји иза виртуелне машине Аурора Етхереум (ЕТХ), исплатила је огромну награду од 6 милиона долара у априлу 2022. Новац је додељен етичком хакеру познатом као пвнинг.етх, након што је открио рањивост која би дозволио актерима претњи да ковају бесконачну залиху Етхереум криптовалуте у Аурори мотор.
Канадски гигант е-трговине Схопифи, у међувремену, оборила је сопствени рекорд 2021. године, када је његова награда износила милион долара. Те године компанија је примила укупно 3.000 извештаја о грешкама од белих хакера широм света. Као одговор, Схопифи је повећао своју максималну награду на 100.000 долара.
Ове бројке могу изгледати апсурдно високе, али оне заиста нису у поређењу са количином новца и података које би сајбер криминалци иначе могли да направе откривањем рањивости. Вормхоле је одредио само награду од 10 милиона долара за бубе након што је изгубио 320 милиона долара због кршења. Аурора Лабс је наградила хакера белог шешира јер 6 милиона долара бледи у поређењу са губитком од 240 милиона долара вредан ЕТХ, док су Цоинбасе и Схопифи вероватно уштедели десетине милиона компензацијом вредним истраживачи.
5 најбољих програма за награђивање грешака који се добро плаћају
Пошто компаније заправо штеде тону новца постављањем програма за награђивање грешака, постоји низ опција које истраживачи могу да бирају. Ако сте случајно хакер са белим шеширима или бисте желели да то постанете, ево пет високоплаћених програма за награђивање грешака које треба размотрити.
Аппле Сецурити Боунти је један од најпопуларнијих програма за награђивање грешака на свету. Награде се крећу од 5.000 долара за откривање рањивости закључаног екрана, до 2 милиона долара за безбедносне рупе које би омогућиле актеру претње да заобиђе Заштите у режиму закључавања. Све што треба да урадите да бисте поднели извештај о грешци (који треба да буде детаљан и детаљан) је да се пријавите са својим Аппле ИД-ом.
Још један популаран програм за награђивање грешака води Мицрософт, који нуди широк спектар награда. Слично као и Апплеов, Мицрософтов програм је подељен на десетине различитих категорија. На пример, ако откријете рањивост у Мицрософт-у. НЕТ фрамеворк, можете очекивати исплату до 15.000 долара. Али ако га откријете у Мицрософт Хипер-В, можете добити награду до 250.000 долара.
Самсунг Ревардс програм је усредсређен на мобилне производе компаније. Има релативно строге смернице, па се уверите да сте их пажљиво прочитали пре него што пошаљете грешку. Такође, имајте на уму да инжењери компаније узимају у обзир само грешке које утичу на безбедност Самсунг уређаја. Награде се крећу између 200 и 200.000 долара.
У Гоогле Буг Хунтерс програму награда, награде иду до 30.000 долара. Ловци на грешке, како се често називају хакери са белим шеширима, могу да пријаве грешке у Гмаил-у, ИоуТубе-у, БлогСпот-у и другим Гоогле услугама. Овај програм има веома активну заједницу и сопствени онлајн универзитет, који може бити одличан ресурс за истраживаче почетнике.
Мета-ин наградни програм покрива Фацебоок, Инстаграм, ВхатсАпп, Мессенгер и мноштво других производа. Да бисте били узети у обзир за награду (минимум је 500 УСД), потребно је да пронађете рањивости које представљају ризик по безбедност или приватност и да испуњавају јасно дефинисане захтеве. Сви важећи извештаји добијају одговор. Ако више ловаца уочи исти проблем, награда се додељује првој особи која поднесе пријаву.
Програми за откривање грешака: Најбоље од обезбеђења из групе
Програми за награђивање грешака представљају најбоље од безбедности скупа. И нису само технолошке компаније и истраживачи сајбер-безбедности они који имају користи од њих – сви имају, укључујући и потрошаче.
За неке је лов на бубе хоби, а за друге пуна каријера. Ако спадате у другу категорију или јој тежите, постоји много онлајн курсева које вреди погледати.