Kazalo:
- Prisega / Verizon Media
- Microsoft
- HackerOne Milijonar
- Ministrstvo za obrambo ZDA
- United Airlines: 1 milijon milj
Video: The Gates of Zadash | Critical Role: THE MIGHTY NEIN | Episode 8 (November 2024)
Prva tehnološka podjetja, ki so ponudila napake za hrošče - kjer je na voljo plačilo hekerjem, ki v kodi najdejo ranljivosti, so bili izdelovalci spletnih brskalnikov; Netscape je stvari sprožil leta 1995, Mozilla pa je to storila leta 2004.
Cilj je pridobiti hekerje, da ogroženi družbi sporočijo o napaki, preden postane izkorišček javno znan. Za hekerje in podjetja gre za dobitek - zakaj bi blokirali slabe fante, ko lahko bolj hekerji pomagajo povečati varnost?
V zadnjih letih je lov na hrošče postal velik posel z igralci, kot so Google, Facebook, Yahoo in Microsoft, ki ponujajo velike vsote. Mnogo drugih - kot so Tesla, Yelp, Reddit, Square, 1Password, in Uber - se je od takrat pridružilo zabavi, vendar odkupi hroščev niso omejeni na tehnološka podjetja. Finance, zdravstveno varstvo in vladni subjekti ponujajo velike koristi, ker želijo, da bi ostali pred naslednjo večjo kršitvijo.
Naprave za hrošče so postale tako običajne, da obstajajo zunanji posredniki, kot sta Bugcrowd in HackerOne, ki povezujejo hekerje z dobršnim denarjem. Kot je podrobno opisano v HackerOneovem poročilu za leto 2018, je podjetje samo 166.000 hekerjem v svoji mreži izplačalo dobrih 23 milijonov dolarjev, ki so odpravili več kot 72.000 ranljivosti. To je veliko dobrega dela - kajti veliko manj denarja kot pravi kramp lahko podjetje stane z denarjem in ugledom.
Glede na poročilo je število registriranih uporabnikov v skupnosti HackerOne samo desetkrat eksplodiralo.
Seveda je tudi nekaj negativnih. Exodus Intelligence, na primer, ponuja večje koristi od velikih podjetij. Nato podjetjem prodaja naročnino, ki vključuje te informacije o napakah. To ni nujno slabo - iskanje ranljivosti je pomembno. A kot ugotavlja Lisa Vaas iz Sophosa, bi lahko "izkoriščali kupce posrednikov" na strani dobrih fantov - recimo antivirusnih prodajalcev, ki želijo ljudi zaščititi pred novo odkritimi luknjami - ali da bi lahko bili v ofenzivi, saj bi radi uporabili nerazkrito izkorišča za ciljne sisteme same."
Spodaj si oglejte nekaj največjih izplačil še na obilnem področju hroščev. Če veste o kakšnih večjih poskokih, nam to sporočite v komentarjih.
Prisega / Verizon Media
Aprila 2018 je organizacija, ki je bila prej znana kot Oath Inc., razstavila 400.000 dolarjev 40 udeležencem v HackerOne-jevem hekerskem dogodku H1-415 v živo. Oath / Verizon Media, ki ima v lasti Yahoo in AOL, je pozneje na posebnem dogodku novembra 2018 izdal še dodatnih 400 tisoč dolarjev hekerjem, ki so prepoznali 159 kritičnih varnostnih ranljivosti.
Po uspehu teh dogodkov z napakami je podjetje ustvarilo konsolidiran program za odpravljanje napak, ki je leta 2018 hekerjem in raziskovalcem, ki so odkrili hrošče različnih stopenj grožnje na več platformah, izplačal 5 milijonov dolarjev. ( Foto: Noam Galai / Getty Images za Verizon Media )
Microsoft
Microsoft je lani dosegel mejnik z dvema milijonoma dolarjev izplačil napak, po katerih je poleg zneskov in resnosti primera prenehal objavljati podatke o posameznih izplačil. Toda največja nagrada, ki jo je prejel en sam človek, je znano, je Vasilis Pappas, ki je leta 2012, ko je bil doktorski študent na univerzi Columbia, prejel 200.000 dolarjev. Pappas je predložil rešitve za težavo s povratnim programiranjem, s katero so hekerji obiti varnostne kontrole, in ustvaril kBouncer, program, ki blaži vse, kar je videti kot ROP.
HackerOne Milijonar
Kot da zgodba Pereira ni dovolj, moramo omeniti še 19-letnega Južnoameričanca, ki ubija s hudomušno igro: argentinskega Santiagoja Lopeza, prvega, ki je na platformi HackerOne zaslužil milijon dolarjev zaslužka. Haker samouk pravi, da se je začel z gledanjem videoposnetkov na YouTubu in branjem blogov sam, a je stvar, ki je začela njegovo zanimanje za taksist? Kaj drugega? Film 1995 hekerji . ( Foto: Združeni umetniki / Getty Images )
Za podjetje, ki je z leti doživelo nekaj neuspehov pri varnosti, ni povsem presenetljivo, da bi Facebook v svoji kodi želel poiskati in obravnavati vrzeli in izkoriščanja. Program za odpravljanje napak v družabnem omrežju je od začetka leta 2011 izplačal 7, 5 milijona dolarjev, prejšnji rekord Facebooka o najvišjih izplačilih sam je prejel Andrew Leonov, ruski raziskovalec varnosti, ki je prejel 40.000 dolarjev za odkrivanje pomanjkljivosti v varnosti programske opreme tretje strani, ki lahko vpliva na sam Facebook. Novo izplačilo rekordov se je zgodilo lani - dobrih 50.000 dolarjev na eno osebo.
Ministrstvo za obrambo ZDA
En mesec v letu 2016 je ministrstvo za dobo pod Obamovo administracijo dobesedno reklo: "Hack Pentagon!" Dvesto petdeset hekerjev je šlo po napakah v sistemih agencije in ugotovilo 138 ranljivosti, ki jih je vredno zapreti. Skupnim izplačilom hekerjem je bilo 150.000 ameriških dolarjev - kar je takratna ministrica za obrambo Ashton Carter dejala, da je približno 850.000 dolarjev manj, kot bi stalo za revizijo strokovne varnosti.
Leta 2018 je ministrstvo za obrambo hackathon razširilo na serijo novih programov, ki jih je gostil HackerOne in so bili usmerjeni v vladne sisteme v lasti vojske, zračnih sil, marincev in obrambnega potovalnega sistema. Skupaj so podelili 500.000 dolarjev hekerjem, ki so odkrili približno 5000 edinstvenih ranljivosti v vladnih bazah podatkov in na spletnih mestih.
United Airlines: 1 milijon milj
United Airlines ne daje denarja, ampak vam bo dal brezplačne kilometre. Veliko jih je. Lani so prejeli številne raziskovalce, med njimi tudi Olivier Beg, 19-letni raziskovalec varnosti z Nizozemske, ki je prejel milijon milj za iskanje približno 20 različnih hroščev v sistemih letalske družbe. ( Foto Nicolas Economou / NurPhoto preko Getty Images )
