Al software har fejl eller fejl, der forårsager problemer. De spænder fra banale problemer, der ikke påvirker softwareydelsen i nogen større grad, til alvorlige sikkerhedssårbarheder.
Bugs kan være svære at få øje på, hvilket er grunden til, at mange teknologivirksomheder har bug bounty-programmer. Men hvad er bug bounty-programmer egentlig? Hvordan fungerer de, og hvordan hjælper de med at forbedre et produkts sikkerhed?
Sådan fungerer Bug Bounty-programmer
Virksomheder lancerer bug-bounty-programmer for at incitamentere white hat hackere at lede efter sikkerhedshuller og lignende sårbarheder i software. Der er typisk en mere end anstændig pengepræmie til dem, der opdager en fejl, uanset hvor ubetydelig den kan virke for den gennemsnitlige person.
Og det er ikke kun små, up-and-coming virksomheder, der har bug bounty-programmer. Faktisk kører de fleste teknologigiganter dem, inklusive Google, Microsoft, Facebook og Apple. Detaljer om disse programmer kan normalt findes på en virksomheds officielle hjemmeside. Oftere end ikke er der flere niveauer eller kategorier. Men i princippet, jo mere betydningsfuld en fejl, desto højere belønning.
Når en hacker med hvid hat opdager en fejl, indsender de en detaljeret afsløringsrapport, der forklarer, hvad de har fundet. Virksomhedens ingeniører gennemgår og undersøger derefter indsendelsen, og hvis forskerens resultater viser sig at være nøjagtige og nyttige, får de besked og modtager en pengebelønning.
Dette system fungerer for både virksomheder og uafhængige forskere. Fra enhver virksomheds perspektiv er det bedre, at en etisk hacker opdager en fejl end en trusselaktør, som højst sandsynligt ville gå videre til udnytte det, før det er lappet, hvilket potentielt forårsager millioner i skader. Hackere, på den anden side, laver en god del af forandringer ved at deltage i bug bounty-programmer - nogle tjener endda fuldtidsindkomster ved at opdage softwaresårbarheder.
Eksempler på Bug Bounty-programmer, der forbedrer softwaresikkerheden
Det er godt at vide, hvordan bug bounty-programmer fungerer i teorien, men lad os tage et kig på et par rigtige eksempler på virksomheder, der udbetaler enorme summer til white hat-hackere.
I samarbejde med bug bounty platformen Immunefi, den decentraliserede blockchain bridge platform Wormhole lancerede i februar 2022 et dusørprogram, der tilbyder $10 millioner til enhver, der opdager en kritisk sikkerhed insekt. Snart nok opdagede en white hat hacker, der brugte pseudonymet satya0x, en. Som Immunefi forklarede i en Medium post, kunne fejlen have ført til, at brugernes midler blev låst, så satya0x modtog $10 millioner for at afsløre det.
Også i februar 2022, cryptocurrency børs Møntbase betalt en $250.000 bug bounty-belønning til en uafhængig forsker for at opdage en stor fejl i platformens handelsgrænseflade.
Aurora Labs, virksomheden bag Aurora Ethereum (ETH) Virtual Machine, udbetalte en massiv dusør på $6 millioner i april 2022. Pengene blev tildelt en etisk hacker kendt som pwning.eth, efter at han opdagede en sårbarhed, der ville have tilladt trusselsaktører at præge en uendelig forsyning af Ethereum-kryptovalutaen i Aurora motor.
Den canadiske e-handelsgigant Shopify, i mellemtiden slog sin egen rekord i 2021, da dens dusørudbetalinger beløb sig til $1 million. Det år modtog virksomheden i alt 3.000 fejlrapporter fra white hat-hackere rundt om i verden. Som svar hævede Shopify sin maksimale dusørbelønning til $100.000.
Disse tal kan virke absurd høje, men de er virkelig ikke i forhold til mængden af penge og data, cyberkriminelle ellers kunne tjene ved at opdage sårbarheder. Wormhole satte kun en $10 millioner bug bounty-belønning, efter at den mistede $320 millioner på grund af et brud. Aurora Labs belønnede en hacker med hvid hat, fordi 6 millioner dollars blegner i forhold til at miste 240 millioner dollars værdi af ETH, mens Coinbase og Shopify sandsynligvis sparede titusindvis af millioner ved at kompensere flittigt forskere.
De 5 bedste højtbetalende bug-bounty-programmer
Fordi virksomheder faktisk sparer et væld af penge ved at oprette belønnende bug bounty-programmer, er der en række muligheder, forskere kan vælge imellem. Hvis du tilfældigvis er en white hat hacker eller gerne vil blive det, er her fem højtbetalende bug bounty-programmer, du skal overveje.
Apple Security Bounty er et af de mest populære bug bounty-programmer i verden. Belønninger spænder fra $5.000 for at opdage sårbarheder i låseskærmen til $2 millioner for sikkerhedshuller, der ville gøre det muligt for en trusselaktør at omgå Lockdown Mode beskyttelser. Alt du skal gøre for at indsende en fejlrapport (som skal være grundig og detaljeret) er at logge ind med dit Apple ID.
Et andet populært bug bounty-program drives af Microsoft, som tilbyder en bred vifte af belønninger. Ligesom Apples, er Microsofts program opdelt i snesevis af forskellige kategorier. For eksempel, hvis du opdager en sårbarhed i Microsoft. NET framework, kan du forvente en betaling på op til $15.000. Men hvis du opdager en i Microsoft Hyper-V, kan du få en belønning på op til $250.000.
Samsung Rewards Program er centreret omkring virksomhedens mobile produkter. Det har relativt strenge politikker, så sørg for at læse dem omhyggeligt, før du indsender en fejl. Bemærk også, at kun fejl, der påvirker sikkerheden af Samsung-enheder, tages i betragtning af virksomhedens ingeniører. Belønninger varierer mellem $200 og $200.000.
I Google Bug Hunters dusørprogram går belønninger op til $30.000. Fejljægere, som white hat hackere ofte omtales, kan rapportere fejl i Gmail, YouTube, BlogSpot og andre Google-tjenester. Dette program har et meget aktivt fællesskab og sit eget online-universitet, som kan være en stor ressource for nybegyndere.
Metas dusørprogram dækker Facebook, Instagram, WhatsApp, Messenger og en række andre produkter. For at komme i betragtning til en belønning (minimum er $500), skal du finde sårbarheder, der udgør en sikkerheds- eller privatlivsrisiko og opfylder klart definerede krav. Alle gyldige rapporter modtager et svar. Hvis flere jægere opdager det samme problem, gives belønningen til den første person, der indsender en rapport.
Bug Bounty-programmer: Det bedste af Crowdsourced-sikkerhed
Bug bounty-programmer repræsenterer det bedste af crowdsourced sikkerhed. Og det er ikke kun teknologivirksomheder og cybersikkerhedsforskere, der nyder godt af dem – det gør alle, også forbrugere.
For nogle er bugjagt en hobby, og for andre en fuldgyldig karriere. Hvis du falder ind under den sidste kategori, eller stræber efter, er der masser af onlinekurser, der er værd at tage et kig på.