Bug Bounties: Mengapa Membayar Hacker Membuat Anda Lebih Aman

Jurnal Secience - Apakah Anda membayar pencuri masuk ke rumah sendiri? Kebanyakan orang pintar mungkin akan mengatakan tidak, tetapi perusahaan teknologi pintar semakin mengatakan ya. Perusahaan seperti Google menawarkan hadiah serius untuk hacker yang dapat menemukan cara untuk masuk ke perangkat lunak mereka.

Perusahaan-perusahaan sering membayar ribuan dolar untuk penemuan bug single - yang cukup sehingga berburu bug dapat memberikan pendapatan yang signifikan. Dan pada tingkat yang berbeda, lebih luas, hacker yang menemukan cara terbaik untuk melindungi aplikasi Windows dari yang dikompromikan sejalan untuk membawa pulang $ 200.000 dari Microsoft dalam kompetisi Hadiah BlueHat nya.

Perusahaan yang terlibat mengatakan bahwa bounty programs membuat produk mereka lebih aman. "Kami mendapatkan laporan bug yang lebih, yang berarti kita mendapatkan lebih banyak perbaikan bug, yang berarti pengalaman yang lebih baik bagi pengguna kami," kata Adam Mein, program keamanan manajer yang bertanggung jawab untuk divisi responsible for the Web Application division of Google's Vulnerability Reward Program. "Kami juga mengembangkan hubungan yang positif dengan para peneliti yang menemukan bug ini."

Tetapi program-program yang tidak tanpa kontroversi. Beberapa perusahaan, terutama Microsoft, percaya bahwa bounty seharusnya hanya digunakan untuk menangkap orang jahat, untuk tidak mendorong orang untuk menemukan lubang. Dan kemudian ada masalah double-dipping - kemungkinan bahwa hacker mungkin mengumpulkan hadiah untuk menemukan kelemahan, dan kemudian menjual informasi yang mengeksploitasi sama untuk pembeli berbahaya.

The Big Dance

World Series of Poker bagi hacker adalah Pwn2Own, kompetisi hacker tahunan yang terjadi setiap tahun selama konferensi keamanan CanSecWest.

"Karunia besar kami uang tunai menarik liputan pers dari media utama, meningkatkan kesadaran di kalangan konsumen tentang kerentanan keamanan," kata Pwn2Own organizer Harun Portnoy. "Itu menempatkan tekanan pada vendor seperti Apple dan Google untuk mengatasi keamanan produk mereka."

Siapapun yang berhasil hacks telepon atau browser Web di Pwn2Own membawa pulang hadiah uang tunai $ 15.000, serta perangkat yang mereka digunakan untuk melakukan hack. Google mempermanis kesepakatan oleh para peneliti keamanan bermanfaat yang berhasil hack produk Google dengan hadiah $ 20.000 tambahan. Semua mengatakan, kompetisi telah memberikan lebih dari $ 160.000 dalam hadiah uang tunai sejak dimulai pada 2007.

Tapi itu berubah tolol dibandingkan dengan karunia bahwa Google telah diposting pada produk sendiri. Sejak awal program November lalu, Kerentanan Reward Program Google telah membayar hampir $ 500.000 untuk pemburu bug yang melaporkan kerentanan keamanan di Chromium (basis open source untuk browser Google Chrome) atau untuk setiap banyak aplikasi Google Web.

Itu jumlah yang besar dan kuat, tapi sebagai imbalannya perusahaan memiliki ratusan tergencet bug yang lain mungkin belum ditemukan sampai penjahat mengambil keuntungan dari mereka untuk meluncurkan beberapa jenis intrusi. Orang-orang di Google melihat karunia sebagai beban berharga karena mereka mendorong peneliti keamanan untuk melaporkan kerentanan perangkat lunak untuk pengembang bukan mengeksploitasi kerentanan mereka untuk keuntungan pribadi.

Google telah menyewa salah satu pemburu hadiah sebagai peneliti keamanan penuh-waktu, dan mempekerjakan lebih mungkin mengikuti. Jelas, karunia besar memiliki cara untuk membawa keluar para pemburu bug terbaik dan tercerdas - beberapa begitu baik bahwa mereka bisa membuat hidup mengidentifikasi bug. Scan Keamanan Kromium Hall of Fame, misalnya, dan Anda akan melihat bahwa peneliti Sergey Glazunov telah menerima hampir $ 20.000 per tahun ini sebagai pemburu bug. Dan itu hanya dari Google. Dengan proliferasi karunia besar yang ditawarkan oleh vendor atau kelompok keamanan penelitian seperti TippingPoint (baru saja diakuisisi oleh HP) itu sekarang mungkin bagi para peneliti berbakat untuk mendapatkan kehidupan yang layak sebagai pemburu hadiah bug.

Zero Day Initiative

Dengan memberikan peneliti keamanan pengakuan positif - dan hadiah uang tunai yang besar - untuk melaporkan kelemahan keamanan, Zero Day Initiative, program pembelian kerentanan, berharap untuk membuat Internet lebih aman bagi semua orang. Setelah ZDI membayar karunia di bug, itu memberitahu vendor bertanggung jawab untuk kerentanan, gratis.

"Setiap tahun kami melaporkan ratusan kerentanan ke Microsoft dan Adobe gratis," catatan Aaron Portnoy, yang mengelola Inisiatif Hari Nol di samping untuk bekerja dengan kompetisi Pwn2Own. "Jika vendor tidak memiliki patch siap dalam enam bulan, kami merilis rincian mengeksploitasi publik. Kami memberikan tekanan pada vendor untuk memperbaiki masalah ini."

Tapi ZDI tidak sepenuhnya altruistik. Hal ini dapat membayar karunia besar (sampai $ 25.000) untuk laporan bug karena organisasi monetizes bug melalui Vaksin Digital, sebuah malware berbasis langganan menyaring layanan dari HP (yang juga memiliki ZDI). Vaksin digital memberikan perlindungan segera dari eksploitasi dikumpulkan oleh ZDI untuk mereka yang bersedia membayar untuk itu, memungkinkan untuk mendapatkan keuntungan sementara ZDI peneliti keamanan bermanfaat.

Sasaran Hacker, Bukan Bugs

Filosofi bisul karunia bug program bawah ini: Penangkapan pencuri terlalu keras, jadi bukan mari kita pastikan rumah benar-benar aman. "Target hacker semakin sulit," kata Portnoy. "Web adalah anonim Hacker dapat dengan mudah berbagi eksploitasi,. Jadi jauh lebih mudah untuk hanya menghilangkan eksploitasi."

Tidak setiap perusahaan setuju dengan sudut pandang, meskipun. Microsoft menyatakan bahwa karunia kas harus diposting hanya untuk melukis menggiurkan sasaran banteng pada hacker terkenal.

"Program-program 'karunia' hanya ditawarkan oleh Microsoft imbalan untuk membantu membawa para penjahat ke pengadilan," tulis Jerry Bryant, seorang manajer grup dari Microsoft Trustworthy Computing Group, dalam sebuah email kepada PCWorld. "Ini sangat berbeda dari program 'bug karunia', yang kami tidak tawarkan."

Microsoft telah diposting beberapa karunia $ 250.000 untuk informasi mengarah ke penangkapan hacker terkenal, termasuk mereka yang bertanggung jawab untuk botnet Rustock, virus Conficker, dan Sasser worm. Karunia Sasser menyebabkan penangkapan seorang remaja yang diduga menulis cacing (ia berbalik oleh dua teman). Karunia lainnya belum menyebabkan penangkapan.

BlueHat Prize

Pada Konferensi Keamanan Hitam Hat tahun ini, Microsoft mengumumkan berbagai jenis karunia. Satu ini tidak menargetkan orang jahat atau bug. Sebaliknya, Hadiah BlueHat adalah karunia tunai sebesar $ 200.000 untuk prototipe yang paling inovatif yang mencegah eksploitasi kerentanan keamanan memori dalam aplikasi Windows.

"Ketika mempertimbangkan Hadiah BlueHat, kami ingin melihat melampaui 'membayar per vuln' standar program dan mengatasi masalah yang benar-benar besar berdampak industri keamanan, dan imbalan bekerja pada solusi inovatif yang dapat mengurangi seluruh kelas serangan," tulis Microsoft Bryant. Dengan kata lain, pemburu hadiah giat harus besar atau pulang.