All programvare har feil eller feil som forårsaker problemer. De spenner fra banale problemer som ikke påvirker programvareytelsen på noen større måte, til alvorlige sikkerhetssårbarheter.
Feil kan være vanskelig å få øye på, og det er grunnen til at mange teknologiselskaper har program for bug-bounty. Men hva er egentlig bug bounty-programmer? Hvordan fungerer de, og hvordan bidrar de til å forbedre et produkts sikkerhet?
Hvordan Bug Bounty-programmer fungerer
Selskaper lanserer bug-bounty-programmer for å stimulere white hat hackere å se etter sikkerhetshull og lignende sårbarheter i programvare. Det er vanligvis en mer enn anstendig pengepremie for de som oppdager en feil, uansett hvor ubetydelig den kan virke for den gjennomsnittlige personen.
Og det er ikke bare små, fremadstormende selskaper som har bug-bounty-programmer. Faktisk driver de fleste teknologigigantene dem, inkludert Google, Microsoft, Facebook og Apple. Detaljer om disse programmene kan vanligvis finnes på selskapets offisielle nettsted. Oftere enn ikke er det flere nivåer eller kategorier. Men i prinsippet, jo mer betydelig feilen er, desto høyere er belønningen.
Når en hacker med hvite hatter oppdager en feil, sender de inn en detaljert avsløringsrapport som forklarer hva de har funnet. Selskapets ingeniører gjennomgår og undersøker deretter innsendingen, og hvis forskerens funn viser seg å være nøyaktige og nyttige, blir de varslet og mottar en pengebelønning.
Dette systemet fungerer for både bedrifter og uavhengige forskere. Fra ethvert selskaps perspektiv er det bedre at en etisk hacker oppdager en feil enn en trusselaktør, som mest sannsynlig vil gå videre til utnytte det før det er lappet opp, potensielt forårsake millioner i skader. Hackere, på den annen side, gjør en god del av endringene ved å delta i bug bounty-programmer – noen tjener til og med heltidsinntekter ved å oppdage programvaresårbarheter.
Eksempler på Bug Bounty-programmer som forbedrer programvaresikkerheten
Det er godt å vite hvordan bug-bounty-programmer fungerer i teorien, men la oss ta en titt på noen få ekte eksempler på selskaper som betaler ut enorme summer til white hat-hackere.
I samarbeid med bug bounty-plattformen Immunefi, den desentraliserte blockchain-broplattformen Wormhole lanserte i februar 2022 et dusørprogram som tilbyr 10 millioner dollar til alle som oppdager en kritisk sikkerhet feil. Snart nok oppdaget en white hat hacker som brukte pseudonymet satya0x en. Som Immunefi forklarte i en Medium post, kunne feilen ha ført til at brukermidler ble låst, så satya0x mottok 10 millioner dollar for å avsløre det.
Også i februar 2022, børs kryptovaluta Myntbase betalte en $250 000 bug-premie til en uavhengig forsker for å ha oppdaget en stor feil i plattformens handelsgrensesnitt.
Aurora Labs, selskapet bak Aurora Ethereum (ETH) Virtual Machine, utbetalte en massiv dusør på $6 millioner i april 2022. Pengene ble tildelt en etisk hacker kjent som pwning.eth, etter at han oppdaget en sårbarhet som ville ha tillatt trusselaktører å lage en uendelig forsyning av Ethereum-kryptovalutaen i Aurora motor.
Den kanadiske e-handelsgiganten Shopify, i mellomtiden brøt sin egen rekord i 2021, da dens dusørutbetalinger var på 1 million dollar. Det året mottok selskapet totalt 3000 feilrapporter fra white hat-hackere over hele verden. Som svar hevet Shopify sin maksimale dusørbelønning til $100 000.
Disse tallene kan virke absurd høye, men de er virkelig ikke i forhold til hvor mye penger og data nettkriminelle ellers kunne tjene ved å oppdage sårbarheter. Wormhole satte bare en $10 millioner bug bounty-belønning etter at den tapte $320 millioner på grunn av et brudd. Aurora Labs belønnet en hacker med hvit lue fordi 6 millioner dollar blekner sammenlignet med å tape 240 millioner dollar verdt av ETH, mens Coinbase og Shopify sannsynligvis sparte titalls millioner ved å kompensere flittig forskere.
De 5 beste høytbetalende bug-bounty-programmene
Fordi selskaper faktisk sparer massevis av penger ved å sette opp givende bug-bounty-programmer, er det en rekke alternativer som forskere kan velge mellom. Hvis du tilfeldigvis er en white hat-hacker eller ønsker å bli det, er her fem høytbetalende bug-bounty-programmer du bør vurdere.
Apple Security Bounty er et av de mest populære bug-bounty-programmene i verden. Belønningene varierer fra $5 000 for å oppdage sårbarheter i låseskjermen, til $2 millioner for sikkerhetshull som vil gjøre det mulig for en trusselaktør å omgå Låsemodusbeskyttelse. Alt du trenger å gjøre for å sende inn en feilrapport (som må være grundig og detaljert) er å logge på med din Apple-ID.
Et annet populært bug-bounty-program drives av Microsoft, som tilbyr et bredt spekter av belønninger. På samme måte som Apples, er Microsofts program delt inn i dusinvis av forskjellige kategorier. For eksempel hvis du oppdager en sårbarhet i Microsoft. NET framework, kan du forvente en betaling på opptil $15 000. Men hvis du oppdager en i Microsoft Hyper-V, kan du få en belønning på opptil $250 000.
Samsung Rewards-programmet er sentrert rundt selskapets mobilprodukter. Den har relativt strenge retningslinjer, så sørg for at du leser dem nøye før du sender inn en feil. Vær også oppmerksom på at bare feil som påvirker sikkerheten til Samsung-enheter tas i betraktning av selskapets ingeniører. Belønningene varierer mellom $200 og $200.000.
I Google Bug Hunters dusørprogram går belønningene opp til $30 000. Feiljegere, som white hat-hackere ofte omtales, kan rapportere feil i Gmail, YouTube, BlogSpot og andre Google-tjenester. Dette programmet har et veldig aktivt fellesskap og et eget nettuniversitet, som kan være en stor ressurs for nybegynnere.
Metas dusørprogram dekker Facebook, Instagram, WhatsApp, Messenger og en rekke andre produkter. For å bli vurdert for en belønning (minimum er $500), må du finne sårbarheter som utgjør en sikkerhets- eller personvernrisiko og oppfyller klart definerte krav. Alle gyldige rapporter får svar. Hvis flere jegere oppdager det samme problemet, gis belønningen til den første personen som sender inn en rapport.
Bug Bounty-programmer: The Best of Crowdsourced Security
Bug bounty-programmer representerer det beste innen crowdsourcet sikkerhet. Og det er ikke bare teknologiselskaper og cybersikkerhetsforskere som drar nytte av dem – alle gjør det, inkludert forbrukere.
For noen er insektjakt en hobby, og for andre en fullverdig karriere. Hvis du faller inn i den siste kategorien, eller streber etter, er det mange nettkurs som er verdt å ta en titt på.
