Video: Facebook Hacker Cup 2020 Qual' (2nd place) (November 2024)
Čo získate, keď umiestnite niektorých hackerov do miestnosti a poskytnete im zoznam cieľových webových stránok? Idú loviť chyby!
To sa stalo na konferencii Bug Bash 2013, čo je „internetový hack-a-thon“, ktorý organizuje Bugcrowd na konferencii AppSec USA v New Yorku začiatkom tohto týždňa. Počas troch večerov sa zúčastnilo približne 80 ľudí a „stovky“ sa zúčastnili na diaľku cez internet, uviedol Casey John Ellis, zakladateľ a generálny riaditeľ spoločnosti Bugcrowd. Účastníci predložili chyby, ktoré identifikovali, Bugcrowd a tím replikoval podmienky, ktoré viedli k chybe, aby problém potvrdil.
Zoznam cieľov zahŕňal spoločnosti ako Facebook, Google, Etsy, Prezi a Yandex. Testeri bezpečnosti, ktorí sa zúčastnili, identifikovali vyše 220 chýb, povedal Ellis. Z veľkej časti to boli problémy týkajúce sa bežnej odrody mlyna vrátane niektorých zraniteľností spôsobených vstrekovaním a obtokom.
„Zatiaľ som nepočul o žiadnych exotických zraniteľnostiach, ale stále analyzujeme naše údaje, “ povedal Ellis.
Bugcrowd plánuje zverejniť viac podrobností o type odhalených chýb a informácie o udalosti neskôr. Pri spustení v San Franciscu sa spúšťajú programy, v ktorých skupiny ľudí spolupracujú pri hľadaní chýb na webových stránkach a v aplikáciách. Akonáhle potvrdí, že hlásené chyby sú legitímne, rieši proces informovania vhodných predajcov.
Odplaty za chyby
Programy odmeny za chyby sa stávajú čoraz obľúbenejšími, pretože spoločnosti povzbudzujú vedcov, aby im priamo predkladali hlásenia o chybách, namiesto toho, aby ich predávali vláde alebo ich ponúkali na využitie sprostredkovateľov. Neoznámenie chyby predajcovi znamená, že kupujúci môžu tieto chyby zabezpečenia použiť na svoje vlastné účely a nechávajú používateľov nechránených pred touto chybou softvéru.
Mozilla a Google pravdepodobne majú najznámejšie programy odmien o chybách, ale mnoho ďalších spoločností v súčasnosti ponúka nejaký druh programu (dlhý, ale nie úplný zoznam je tu). Facebook v auguste oznámil, že za posledné dva roky vyplatil milióny dolárov.
Nie všetky chyby sa kvalifikujú pre tieto programy. Napríklad Facebook objasňuje, že ich program pokrýva iba problémy, ktoré by „mohli narušiť integritu užívateľských údajov Facebooku, obísť ochranu osobných údajov Facebooku z dôvodu ochrany súkromia alebo umožniť prístup do systému v rámci infraštruktúry Facebooku.“ “ Spoločnosť Microsoft nedávno vydala sériu cien a bola veľmi špecifická v otázkach, ktoré hľadala.
Bug Bash 2013
V tomto okamihu je ťažké odhadnúť, koľko chýb odkrytých v rámci programu Bug Bash má celkovú hodnotu, pretože programy odmien za chyby sa veľmi líšia v tom, koľko zaplatia. Niektoré programy platia niekoľko sto dolárov a iné platia niekoľko tisíc dolárov. Je tiež dôležité si uvedomiť, že každá spoločnosť má špecifické pravidlá týkajúce sa toho, čo uznávajú ako chybu a aké typy problémov spadajú do programu odmeny za chyby.
Aj keď bolo odoslaných 220 chýb, je na predajcovi, aby rozhodol, či sa problémy kvalifikujú na vyplatenie. A aj keď dôjde k výplate, o výške sumy tiež rozhodne predajca. Aj keď každá z 200 chýb má hodnotu len niekoľko stoviek dolárov, nie je to zlé na niekoľko hodín práce počas troch dní.
Zástupcovia Facebooku boli počas podujatí po ruke, aby im poskytli informácie o svojich programoch na odmenu za chyby a odpovedali na otázky účastníkov.
Ľudia, ktorí sa zúčastňovali na školeniach o rôznych technikách, sa prestali zúčastňovať skupinového hacku, povedal Tom Brennan, člen správnej rady Nadácie OWASP a jeden z organizátorov AppSec USA. Ľudia spolupracovali pri práci na cieľoch a žiadali si navzájom pomoc. Hľadanie chýb nie je automatizovaný proces, pretože si skutočne vyžaduje, aby ľudia premýšľali o tom, čo vidia, a podľa toho prispôsobili svoje techniky. Prostredie spolupráce, v ktorom ľudia môžu odraziť myšlienky jeden od druhého, môže byť „veľmi efektívne“ na lov bugov, povedal Brennanová.