וִידֵאוֹ: Microsoft Facebook Hackathon - Hack Presentations (נוֹבֶמבֶּר 2024)
מה אתה מקבל כשמכניסים כמה האקרים לחדר ומגישים להם רשימת אתרי יעד? הם יוצאים לציד באגים!
זה מה שקרה ב- Bug Bash 2013, "hack-a-thon ברחבי האינטרנט" שניהל בוגקרוד בכנס AppSec USA בניו יורק בתחילת השבוע. כ -80 איש השתתפו במהלך שלושה ערבים, ו"מאות "השתתפו מרחוק דרך האינטרנט, אמר קייסי ג'ון אליס, מייסד ומנכ"ל Bugcrowd. המשתתפים הגישו ל- Bugcrowd את הבאגים שזיהו, והצוות שכפול את התנאים שהובילו לטעות כדי לאשר את הבעיה.
רשימת המטרות כללה חברות כמו פייסבוק, גוגל, אטסי, פרוזי וינדקס. בודקי האבטחה שלקחו חלק זיהו מעל 220 באגים, אמר אליס. לרוב, הסוגיות היו מסוג המגוון הארצי של הטחנה, כולל פגיעויות בהזרקה ועוקף.
"עדיין לא שמעתי על פגיעויות אקזוטיות, אבל אנחנו עדיין מנתחים את הנתונים שלנו", אמרה אליס.
Bugcrowd מתכנן לשחרר פרטים נוספים על סוג הבאגים שנחשפו ומידע על האירוע במועד מאוחר יותר. ההפעלה מבוססת סן פרנסיסקו מפעילה תוכניות בהן קבוצות אנשים עובדים יחד כדי למצוא באגים באתרי אינטרנט ויישומים. ברגע שהוא מאשר כי הבאגים המדווחים הם לגיטימיים, הוא מטפל בתהליך ההודעות של ספקים מתאימים.
פרסי באגים
תוכניות השפע של באגים הופכות פופולריות יותר ויותר, שכן חברות מעודדות חוקרים להגיש אליהם ישירות דוחות באגים, במקום למכור אותם לממשלה או להציע להם לנצל מתווכים. אי דיווח על הבאג לספק, פירושו שהקונה יכול להשתמש בפגיעויות אלה למטרות שלו ומותיר משתמשים ללא הגנה מפגם תוכנה זה.
למוזילה וגוגל יש כנראה את תוכניות השפע הבאגים הידועות ביותר, אך חברות רבות אחרות מציעות כעת תוכנית כלשהי (רשימה ארוכה, אך לא מלאה) כאן. פייסבוק הודיעה באוגוסט כי היא שילמה סכומים של מיליון דולר בשנתיים האחרונות.
לא כל הבאגים זכאים לתוכניות אלה. לדוגמה, פייסבוק מבהירה שהתוכנית שלהם מכסה רק סוגיות שיכולות "יכולות לפגוע בשלמות נתוני המשתמשים בפייסבוק, לעקוף את הגנות הפרטיות של נתוני המשתמשים בפייסבוק, או לאפשר גישה למערכת בתוך תשתית פייסבוק." מיקרוסופט השיקה לאחרונה סדרת פרסים והייתה מאוד ספציפית בסוג הנושאים שהיא חיפשה.
באג באש 2013
קשה להעריך בשלב זה עד כמה באגים שנחשפו כחלק מ- Bug Bash שווים בסך הכל, מכיוון שתוכניות ראוות באגים שונות כל כך בכמה שהם משלמים. יש תוכניות שמשלמות כמה מאות דולרים ואחרות משלמות כמה אלפי דולרים. חשוב גם לציין שלכל חברה יש כללים ספציפיים לגבי מה שהם מכירים כחיידק ואילו סוגי נושאים מכוסים במסגרת תוכנית השפע של באגים.
אף על פי שהוגשו 220 באגים, על הספק להחליט אם הנושאים מתאימים לתשלום. וגם אם יש תשלום, זה גם על הספק להחליט מה הסכום. עם זאת, גם אם כל אחד מאותם 200 באגים שווה רק כמה מאות דולרים, זה לא רע לכמה שעות עבודה במשך שלושה ימים.
נציגי פייסבוק היו אפילו בהישג יד במהלך האירועים בכדי לתת תובנות לגבי תוכניות שפע הבאגים שלהם וכן לענות על שאלות מהמשתתפים.
אנשים שהשתתפו בהדרכות שלמדו על טכניקות שונות עצרו את עצמם כדי לקחת חלק בפריצה הקבוצתית, אמר טום ברנן, חבר הנהלה בקרן OWASP ואחד המארגנים של AppSec USA. אנשים שיתפו פעולה בזמן שעבדו על יעדים וביקשו עזרה אחד מהשני. מציאת באגים אינה תהליך אוטומטי שכן היא באמת מחייבת אנשים לחשוב על מה שהם רואים ולהתאים את הטכניקות שלהם בהתאם. ברנן אמר כי סביבה שיתופית בה אנשים יכולים להקפיץ רעיונות האחד מהשני יכולה להיות "יעילה מאוד" לציד באגים.