Video: Microsoft Facebook Hackathon - Hack Presentations (November 2024)
Wat krijg je als je sommige hackers in een ruimte plaatst en ze een lijst met doelsites geeft? Ze gaan op insecten jagen!
Dat was wat er gebeurde op Bug Bash 2013, een "internetbrede hack-a-thon" gerund door Bugcrowd op de AppSec VS-conferentie eerder deze week in New York. Ongeveer 80 mensen namen deel in de loop van drie avonden, en "honderden" namen op afstand deel via internet, zei Casey John Ellis, oprichter en CEO van Bugcrowd. Deelnemers dienden de door hen geïdentificeerde bugs in bij Bugcrowd en het team repliceerde de voorwaarden voorafgaand aan de fout om het probleem te bevestigen.
De lijst met doelen bevatte bedrijven zoals Facebook, Google, Etsy, Prezi en Yandex. De beveiligingstesters die deelnamen, identificeerden meer dan 220 bugs, zei Ellis. Voor het grootste deel waren de problemen van de alledaagse run-of-the-mill variëteit, waaronder enkele kwetsbaarheden in injectie en bypass.
"Ik heb nog geen exotische kwetsbaarheden gehoord, maar we analyseren onze gegevens nog steeds, " zei Ellis.
Bugcrowd is van plan om op een later tijdstip meer details over het type ontdekte bugs en informatie over het evenement vrij te geven. De startup in San Francisco voert programma's uit waarbij groepen mensen samenwerken om fouten in websites en applicaties te vinden. Zodra het bevestigt dat de gerapporteerde bugs legitiem zijn, behandelt het het proces van kennisgeving aan de juiste leveranciers.
Bug Bounties
Bounty-programma's voor bugs worden steeds populairder, omdat bedrijven onderzoekers aanmoedigen om rechtstreeks bugrapporten bij hen in te dienen in plaats van ze aan de overheid te verkopen of aan te bieden om makelaars uit te buiten. Het niet melden van de bug aan de verkoper betekent dat de koper deze kwetsbaarheden voor eigen doeleinden kan gebruiken en laat gebruikers onbeschermd van die softwarefout.
Mozilla en Google hebben waarschijnlijk de bekendste bug bounty-programma's, maar veel andere bedrijven bieden nu een soort programma (een lange, maar niet complete, lijst is hier). Facebook kondigde in augustus aan dat het de afgelopen twee jaar een miljoen dollar aan premies had uitbetaald.
Niet alle bugs komen in aanmerking voor deze programma's. Facebook maakt bijvoorbeeld duidelijk dat hun programma alleen kwesties behandelt die "de integriteit van Facebook-gebruikersgegevens kunnen schaden, de privacybescherming van Facebook-gebruikersgegevens kunnen omzeilen of toegang tot een systeem binnen de Facebook-infrastructuur mogelijk maken". Microsoft heeft onlangs een reeks prijzen gelanceerd en was zeer specifiek in het soort problemen waarnaar het op zoek was.
Bug Bash 2013
Het is moeilijk om op dit moment in te schatten hoeveel de bugs die zijn ontdekt als onderdeel van Bug Bash in totaal waard zijn, omdat programma's voor bugs-premies zo sterk variëren in hoeveel ze betalen. Sommige programma's betalen enkele honderden dollars en andere betalen enkele duizenden dollars. Het is ook belangrijk op te merken dat elk bedrijf specifieke regels heeft over wat zij als een bug herkennen en welke soorten problemen onder het bug bounty-programma vallen.
Hoewel 220 bugs werden ingediend, is het aan de verkoper om te beslissen of de problemen in aanmerking kwamen voor een uitbetaling. En zelfs als er een uitbetaling is, is het ook aan de verkoper om het bedrag te bepalen. Zelfs als elke van de 200+ bugs slechts een paar honderd dollar waard is, is dat niet slecht voor een paar uur werk gedurende drie dagen.
Facebook-vertegenwoordigers waren zelfs aanwezig tijdens de evenementen om inzicht te geven in hun bug bounty-programma's en om vragen van de deelnemers te beantwoorden.
Mensen die in trainingssessies waren geweest die verschillende technieken leerden, kwamen langs om deel te nemen aan de groepshack, zeiden Tom Brennan, een bestuurslid van OWASP Foundation en een van de organisatoren van AppSec USA. Mensen werkten samen terwijl ze aan doelen werkten en elkaar om hulp vroegen. Het vinden van bugs is geen geautomatiseerd proces, omdat mensen echt moeten nadenken over wat ze zien en hun technieken dienovereenkomstig aanpassen. Een samenwerkingsomgeving waar mensen ideeën van elkaar kunnen laten stuiteren, kan "zeer effectief" zijn voor het zoeken naar insecten, zei Brennan.
