Video: My First Bug Bounty - Gitter $1,000 one-click DoS (December 2024)
Stel dat u een software-uitgever bent met een wereldwijde aanwezigheid. Een beveiligingslek in een van uw producten waarmee slechteriken privé-informatie kunnen stelen of een pc op afstand kunnen bedienen, kan verstrekkende gevolgen hebben. Als iemand zo'n gat ontdekt, zou je liever hebben dat ze je erover vertellen dan de informatie op de zwarte markt voor cybercriminaliteit verkopen, toch? "Bug bounty" -programma's zijn bedoeld om dit soort delen aan te moedigen door degenen die beveiligingslekken ontdekken te belonen met contant geld, roem of beide, en ze komen vaker voor dan u misschien denkt.
Premies in overvloed
Yahoo's bug bounty-programma bracht eerder deze week nieuws. Een groep Zwitserse onderzoekers die het programma onderzoeken, begon met het opsporen van drie serieuze cross-site scripting bugs op Yahoo-websites, beveiligingslekken waardoor een aanvaller het Yahoo e-mailaccount van een slachtoffer kon overnemen. (Het vinden van die bugs kostte hen ongeveer een dag - eng!). Na controle van het rapport bood Yahoo $ 12, 50 voor elke bug, inwisselbaar voor swag in de bedrijfswinkel.
Die beloning leek voor velen chintzy. De terugslag in dit rapport was groot genoeg dat Yahoo een verandering aankondigde, iets waar ze al aan werkten. Het nieuwe bug bounty-programma beloont onderzoekers die een geverifieerde bug melden met contant geld, niet swag, in een bedrag van $ 150 tot $ 15.000, waarbij het exacte bedrag wordt bepaald door een duidelijke, vooraf gedefinieerde formule. Het nieuwe programma zou eind deze maand van kracht moeten zijn, maar het is met terugwerkende kracht tot 1 juli.
Denk je dat je een beveiligingslek hebt gevonden dat misschien iets waard is? De bugcrowd-website geeft een overzicht van alle huidige bugbounty-programma's, onderverdeeld in programma's die een beloning, roem plus swag, alleen roem of geen beloning bieden. Klik op de link voor een bepaald product of een bepaalde service om de rapportagepagina te bezoeken.
Facebook biedt bijvoorbeeld een minimale premie van $ 500, zonder vooraf ingesteld maximum. Vanaf augustus had Facebook meer dan een miljoen dollar aan dergelijke premies uitbetaald..
Betalingen van Google voor geverifieerde bugs volgen een goed gedefinieerde tabel met waarden. Deze variëren van $ 100 voor een algemene webfout op een Google-site met lage prioriteit tot $ 20.000 voor een beveiligingslek met betrekking tot het uitvoeren van externe code in een zeer gevoelige service. In een knipoog naar 'leet-speak', hebben sommige typen een beloning van $ 1337.
Microsoft is anders
Microsoft biedt onderzoekers $ 100.000, of zelfs meer, voor werk dat de beveiliging verbetert, maar het blijkt dat het Microsoft-programma niet bepaald een bug bounty is. Katie Moussouris, senior beveiligingsstrateeg voor Microsoft Trustworthy Computing, legde het verschil uit.
"Microsoft's $ 100.000 Mitigation Bypass Bounty vereist dat deelnemers echt nieuwe exploitatietechnieken indienen tegen ons nieuwste Windows-platform, " zei Moussouris, "zodat we onze platformbrede verdediging kunnen verbeteren. Nieuwe exploitatietechnieken zijn moeilijker te vinden dan individuele kwetsbaarheden en leren over ze helpen ons klanten te beschermen tegen hele klassen van aanvallen om de beveiliging te verbeteren door sprongen te maken in plaats van één kwetsbaarheid tegelijk aan te pakken. " Ze concludeerde: "We moedigen onderzoekers aan om de richtlijnen van onze premieprogramma's op www.microsoft.com/bountyprograms te lezen en hun inzendingen in te sturen naar [email protected]."
Een onderzoeker die niet alleen een nieuwe exploitatietechniek rapporteert, maar ook ideeën voor verdediging levert, kan in aanmerking komen voor een extra $ 50.000 BlueHat-bonus. En vergeet niet dat Microsoft in 2012 meer dan een kwart miljoen uitbetaalde aan de winnaars van de BlueHat Prize-wedstrijd.
Er is veel ervaring en een genialiteit voor nodig om in aanmerking te komen voor de beloning van Microsoft. Beveiliging is vaak een kat-en-muisspel, ascriminelen bedenken nieuwe aanvallen en verdedigers reageren met nieuwe tellers op die aanvallen. Nieuwe exploitatietechnieken bedenken (en ertegen verdedigen) voordat de slechteriken de verdediging in de hoofdrol spelen. Als Windows-gebruiker groet ik de ontvangers. Bedankt jongens!