Video: Facebook Hacker Cup 2020 Qual' (2nd place) (Octombrie 2024)
Ce obții când pui câțiva hackeri într-o cameră și le dai o listă cu site-urile țintă? Ei merg la vânătoare de erori!
Asta s-a întâmplat la Bug Bash 2013, un „hack-a-thon pe internet” condus de Bugcrowd la conferința AppSec USA din New York la începutul acestei săptămâni. Aproximativ 80 de persoane au participat de-a lungul a trei seri, iar „sute” au participat de la distanță pe internet, a declarat Casey John Ellis, fondatorul și CEO al Bugcrowd. Participanții au transmis bug-urile pe care le-au identificat la Bugcrowd, iar echipa a replicat condițiile care au dus la eroare pentru a confirma problema.
Lista de ținte includ companii precum Facebook, Google, Etsy, Prezi și Yandex. Testatorii de securitate care au luat parte au identificat peste 220 de erori, a spus Ellis. În cea mai mare parte, problemele erau din varietatea mondială de rulare a morii, inclusiv unele vulnerabilități de injecție și bypass.
"Încă nu am auzit despre vulnerabilități exotice, dar încă analizăm datele noastre", a spus Ellis.
Bugcrowd intenționează să publice mai multe detalii despre tipul de buguri descoperite și informații despre eveniment la o dată ulterioară. Pornirea bazată pe San Francisco rulează programe în care grupuri de oameni lucrează împreună pentru a găsi bug-uri în site-uri și aplicații. După ce confirmă faptul că erorile raportate sunt legitime, gestionează procesul de notificare a furnizorilor corespunzători.
Bounties Bug
Programele de recompensare a erorilor devin din ce în ce mai populare, deoarece companiile încurajează cercetătorii să le prezinte direct rapoarte despre erori, în loc să le vândă guvernului sau să le ofere pentru a exploata brokerii. Nerespectarea bug-ului către furnizor înseamnă că cumpărătorul poate utiliza aceste vulnerabilități în scopuri proprii și lasă utilizatorii neprotejați de defectele software.
Mozilla și Google au probabil cele mai cunoscute programe de recompense pentru bug-uri, dar multe alte companii oferă acum un fel de program (o listă lungă, dar nu completă, este aici). Facebook a anunțat în august că a plătit un milion de dolari în bonuri în ultimii doi ani.
Nu toate erorile se califică pentru aceste programe. De exemplu, Facebook precizează clar că programul lor acoperă numai problemele care ar putea „compromite integritatea datelor utilizatorilor Facebook, eludarea protecțiilor privind confidențialitatea datelor utilizatorilor Facebook sau a permite accesul la un sistem din infrastructura Facebook”. Microsoft a lansat recent o serie de premii și a fost foarte specifică în ceea ce privește problemele pe care le căuta.
Bug Bash 2013
În acest moment este greu de estimat cât de mult valorează bug-urile descoperite ca parte a Bug Bash, deoarece programele de recompense pentru buguri diferă atât de mult în ceea ce plătește. Unele programe plătesc câteva sute de dolari, iar altele plătesc câteva mii de dolari. De asemenea, este important să rețineți că fiecare companie are reguli specifice despre ceea ce recunosc drept bug și ce tipuri de probleme sunt acoperite în cadrul programului de recompensare a erorilor.
Chiar dacă au fost trimise 220 de erori, revine vânzătorului posibilitatea de a decide dacă problemele s-au calificat pentru o plată. Și chiar dacă există o plată, este de asemenea în sarcina vânzătorului să decidă suma. Cu toate acestea, chiar dacă fiecare dintre cele 200+ bug-uri valorează doar câteva sute de dolari, nu este rău pentru câteva ore de muncă pe parcursul a trei zile.
Reprezentanții Facebook au fost chiar la îndemână în timpul evenimentelor pentru a oferi informații despre programele lor de recompensare a erorilor, precum și pentru a răspunde la întrebările participanților.
Oamenii care fuseseră în sesiuni de instruire învățând despre diferite tehnici se opreau să ia parte la hack-ul grupului, a declarat Tom Brennan, membru al consiliului de administrație pentru Fundația OWASP și unul dintre organizatorii pentru AppSec SUA. Oamenii colaborau în timp ce lucrau la ținte și își cereau ajutor unul de la celălalt. Găsirea erorilor nu este un proces automat, deoarece necesită într-adevăr oamenii să se gândească la ceea ce văd și să-și ajusteze tehnicile în consecință. Brennan a spus că un mediu de colaborare în care oamenii pot sări idei unul de celălalt poate fi „foarte eficient” pentru vânătoarea de erori.
