فيديو: Facebook Hacker Cup 2020 Qual' (2nd place) (شهر نوفمبر 2024)
ما الذي تحصل عليه عند وضع بعض المتسللين في غرفة ومنحهم قائمة بالمواقع الإلكترونية المستهدفة؟ يذهبون الصيد علة!
هذا ما حدث في Bug Bash 2013 ، وهو "اختراق على الإنترنت" يديره Bugcrowd في مؤتمر AppSec USA في نيويورك في وقت سابق من هذا الأسبوع. وقال كيسي جون إليس ، المؤسس والرئيس التنفيذي لشركة Bugcrowd ، إن حوالي 80 شخصًا شاركوا على مدار ثلاث أمسيات ، وشارك "المئات" عن بُعد عبر الإنترنت. قدم المشاركون الأخطاء التي حددوها إلى Bugcrowd ، وكرر الفريق الشروط التي أدت إلى حدوث خطأ لتأكيد المشكلة.
تضمنت قائمة الأهداف شركات مثل Facebook و Google و Etsy و Prezi و Yandex. وقال إليس إن اختبار الأمن الذين شاركوا حددوا أكثر من 220 حشرة. بالنسبة للجزء الأكبر ، كانت المشكلات تتعلق بمجموعة متنوعة من المطاحن العادية ، بما في ذلك بعض نقاط الضعف في الحقن والالتفاف.
وقال إليس "لم أسمع عن أي نقاط ضعف غريبة ، لكننا ما زلنا نحلل بياناتنا".
يخطط Bugcrowd لإصدار مزيد من التفاصيل حول نوع الأخطاء التي تم اكتشافها والمعلومات حول الحدث في تاريخ لاحق. تدير شركة بدء التشغيل في سان فرانسيسكو برامج تعمل فيها مجموعات من الأشخاص معًا للعثور على الأخطاء في مواقع الويب والتطبيقات. بمجرد أن تؤكد أن الأخطاء التي تم الإبلاغ عنها شرعية ، فإنها تتولى عملية إخطار البائعين المناسبين.
مكافآت الأخطاء
أصبحت برامج مكافآت الأخطاء أكثر شيوعًا ، حيث تشجع الشركات الباحثين على تقديم تقارير الأخطاء إليهم مباشرة ، بدلاً من بيعها للحكومة أو تقديمها لاستغلال الوسطاء. عدم الإبلاغ عن الخطأ إلى البائع يعني أنه يمكن للمشتري استخدام هذه الثغرات الأمنية لأغراضه الخاصة ويترك المستخدمين دون حماية من خلل البرنامج.
من المحتمل أن يكون لدى Mozilla و Google أفضل برامج مكافآت الأخطاء ، لكن العديد من الشركات الأخرى تقدم الآن نوعًا من البرنامج (قائمة طويلة ، ولكنها غير كاملة ، موجودة هنا). أعلن فيسبوك في أغسطس أنه دفع مليون دولار على شكل مكافآت على مدار العامين الماضيين.
ليست كل الأخطاء مؤهلة لهذه البرامج. على سبيل المثال ، يوضح Facebook أن برنامجهم لا يغطي سوى المشكلات التي يمكن أن "تعرض سلامة بيانات مستخدم Facebook للخطر ، أو تتحايل على حماية خصوصية بيانات مستخدم Facebook ، أو تتيح الوصول إلى نظام داخل بنية Facebook الأساسية". أطلقت Microsoft سلسلة من الجوائز مؤخرًا وكانت محددة جدًا في نوع المشكلات التي كانت تبحث عنها.
باغ باش 2013
من الصعب في هذه المرحلة تقدير إجمالي الأخطاء التي تم اكتشافها كجزء من Bug Bash بقيمة إجمالية ، نظرًا لاختلاف برامج مكافآت الأخطاء بشكل كبير في مقدار ما تدفعه. بعض البرامج تدفع عدة مئات من الدولارات والبعض الآخر يدفع عدة آلاف من الدولارات. من المهم أيضًا ملاحظة أن كل شركة لديها قواعد محددة بشأن ما تعترف به كخلل وأنواع المشكلات التي يتم تغطيتها في برنامج مكافآت الأخطاء.
على الرغم من تقديم 220 خطأ ، فإن الأمر متروك للبائع لتحديد ما إذا كانت المشكلات مؤهلة للحصول على تعويض. وحتى إذا كان هناك دفع تعويضات ، فإن الأمر متروك للبائع أيضًا لتحديد المبلغ. ومع ذلك ، حتى إذا كانت قيمة كل واحدة من أكثر من 200 من الأخطاء تساوي بضع مئات من الدولارات ، فهذا ليس بالأمر السيئ لبضع ساعات من العمل على مدار ثلاثة أيام.
كان ممثلو Facebook على استعداد أثناء الأحداث لإلقاء نظرة ثاقبة على برامج مكافآت الأخطاء بالإضافة إلى الإجابة على أسئلة المشاركين.
قال توم برينان ، عضو مجلس إدارة مؤسسة OWASP وواحد من المنظمين لـ AppSec USA ، إن الأشخاص الذين كانوا في جلسات تدريبية يتعلمون تقنيات مختلفة توقفوا للمشاركة في اختراق المجموعات. كان الناس يتعاونون أثناء العمل على الأهداف وطلب المساعدة من بعضهم البعض. لا يعتبر البحث عن الأخطاء عملية تلقائية ، حيث يتطلب الأمر حقًا من الناس التفكير فيما يرونه وضبط تقنياتهم وفقًا لذلك. وقال برينان إن وجود بيئة تعاونية حيث يمكن للناس أن يرفضوا الأفكار عن بعضهم البعض يمكن أن يكون "فعالا للغاية" لصيد الحشرات.