Yedi rakamlı güvenlik açığı ödülleri manşetlere çıkmaya devam ederken, hata ödül enflasyonunu yönlendiren nedir?
Hata ödülleri 1 milyon doları aştı ve etik bilgisayar korsanlığı topluluğu içinde daha da yüksek ödemeler olduğuna dair raporlar var.
Ancak bu ‘mega ödüller’ güvenlik araştırmacıları ve bunları sunan şirketler için iyi mi? Ve katılanlar için gerçekten ulaşılabilir mi?
2022’nin başlarında, ‘satya0x’ adlı bir güvenlik araştırmacısı, kripto platformu Wormhole’da bir güvenlik açığı keşfettiği için 10 milyon dolar kazandı. Ödül, Immunefi aracılığıyla ödendi ve – en azından şimdiye kadar – şimdiye kadarki en büyük böcek ödülü ödemesi oldu.
Sekiz rakamlı başka bir ödül henüz verilmemiş olsa da, ödemelerde açıkça artan bir eğilim var. Örneğin, başka bir Immunefi kullanıcısı olan ‘pwning.eth’, yakın zamanda Aurora kripto hizmetindeki kritik bir güvenlik açığını bildirdiği için 6 milyon dolar kazandı.
elma hasadı
Giderek daha fazla teknoloji devi de önemli meblağlar sunuyor.
Apple’ın ödül programı aracılığıyla 20 milyon dolar ödediği bildiriliyor ve satıcı, cihazlarındaki “Kilitleme Modunun belirli korumalarını” atlayan güvenlik açıkları raporları için 2 milyon dolara kadar teklif veriyor, ancak ödüller genellikle 5.000 ila 250.000 dolar arasında değişiyor.
Intel ayrıca şirket içi bir ödül programı yürütür ve daha büyük ödüller sunan görüşleri, bir firmanın güvenliği ciddiye aldığının kanıtı olarak görür.
Intel’in ürün güvenliği olay müdahale ekibi ve hata ödül programı direktörü Katie Noble, “Intel, Intel Bug Bounty Programı aracılığıyla gönderilen uygun güvenlik açıkları için 100.000 $’a kadar hata ödülleri sunuyor” dedi. günlük yudum.
“Deneyimlerime göre, yüksek ödül teklifleri, bir şirketin böcek ödülüne ve daha geniş güvenlik topluluğuna olan bağlılığını gösterme eğilimindedir.” Şirket, programının kapsamı, katkıda bulunan araştırmacılar ve bildirdikleri alanlar konusunda açıktır.
İLİŞKİLİ Ethereum Vakfı, hisse kanıtı geçiş çarpanı ile 1 milyon dolarlık hata ödülü ödemesi sunuyor
Ödül enflasyon faktörleri
Her zamankinden daha büyük ödeme eğilimi, yalnızca kuruluşların güvenliğe daha fazla odaklanmasının bir sonucu değildir. Ayrıca, en iyi araştırmacıların yüksek talep gördüğü hata ödül programları arasında büyüyen bir rekabet var.
Intel’den Noble, “Bazı araştırmacılar iki şirketin programları arasında bölünebileceği veya her ikisinde de çalışabileceği için, artan hata ödül ödemeleri muhtemelen piyasa güçlerinin bir sonucudur” diyor.
“Aynı zamanda muhtemelen enflasyonun ve yer altı piyasasını kapatma ve etik, koordineli güvenlik açığı ifşasını teşvik etme girişiminin bir yansıması.”
Rekabet, aynı zamanda en büyük ödülleri sunan web 3.0 ve kripto platformları arasında özellikle yoğundur. Ancak bunlar aynı zamanda en uzman uzmanlığı gerektirir.
Ve bazı kuruluşlar sadece pozitif PR arıyor olabilir. Büyük bir potansiyel ödül tanıtım yaratır, ancak asla verilmezse hiçbir maliyeti yoktur.
Bug Bounty İsviçre CTO’su ve kurucu ortağı Florian Badertscher, “Ulaşılması imkansız, yanlış algılar yaratan veya yalnızca PR için yüksek ödüller içeren bir programa sahip olmak oldukça kolaydır” dedi. günlük yudum.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR HackerOne, müşterilerini bilgisayar korsanlarını yasal sorunlardan korumak için standart bir politika benimsemeye teşvik ediyor
Ödüller açıkça ciddiyetle takip etme eğilimindedir, ancak aynı zamanda etik olmayan araştırmacıların karaborsada güvenlik açıkları satarak ne kadar kazanabileceğini de yansıtır.
Canon Europe CISO’su Quentyn Taylor, “Sorunun ciddiyetini gördüğünüzde kesinlikle haklı görünen bazı büyük ikramiyeler, çoğu insanın aldığı normal ödemelerle karşılaştırıldığında çok nadirdir” dedi. günlük yudum.
“En yüksek ödül ödemelerini çeken, alternatif pazarlanabilirliğe sahip olabilecek güvenlik açıkları.”
HackerOne’da kıdemli güvenlik mimarı olan Dane Sherrets de aynı fikirde. Bu güvenlik açıklarının oluşturduğu finansal riskler nedeniyle en büyük hata ödüllerinin kripto alanında olduğuna dikkat çekiyor.
Sherrets, “Web3 dünyasında, hata ödül programlarının genellikle daha geleneksel Web2’den farklı bir işleve hizmet ettiğini belirtmekte fayda var” dedi. günlük yudum.
“İçinde kilitli 100 milyon dolarlık kripto para birimi bulunan bir akıllı sözleşmede kritik bir güvenlik açığı varsa, bu, bir saldırganın 100 milyon doların tamamını çalabileceği veya yok edebileceği anlamına gelir. Ancak, bir program 1 milyon dolarlık bir hata ödülü sunarsa, saldırganı sorunu bildirmeye ve ödülü yasal ve temiz bir şekilde almaya teşvik edebilir.”
Elit avcılar
En iyi ödeme yapan ödüllerin bazıları için, güvenlik açıklarını bulmak özellikle niş beceriler gerektirir. Bu, Web 3.0 ortamlarında en yaygın olanıdır.
Pentest People danışmanı Marius Avram, “Dürüst olmak gerekirse, tüm bug bounty platformlarına ve sundukları ödüllere bakarsak, açık ara en büyük ödülleri bir kripto bug bounty platformu (Web 3.0) olan Immunefi tarafından ödeniyor”, söylenmiş günlük yudum.
“Ancak bu Web 3.0 uygulamalarına katılmak ve güvenlik açıklarını bulmak için yüksek düzeyde beceriye sahip olunması gerektiğini belirtmek gerekir.”
Bu ortamlarda ödül bulmak, tarama araçlarının kapsamı dışındadır, diyor.
Avram, “Elit bir avcı değilseniz herhangi bir güvenlik açığı bulmak son derece zor hale geldi” diye açıklıyor. “Bu platformlarda bu siteleri gece gündüz tarayan çok sayıda katılımcı var, bu nedenle siteleri Burp gibi otomatik güvenlik açığı tarayıcılarıyla tarayarak bir şey bulma şansı sıfıra yakın. [Suite]Nessus ve benzerleri.
İLİŞKİLİ Kilitleme Modu: Apple, yeni casus yazılım önleme teknolojisindeki güvenlik açıkları için 2 milyon dolarlık hata ödülü sunuyor
“Ve o zaman bile, işi elle yapmanız gerekiyor ve bu beceri ve deneyim gerektiriyor. Ayrıca, otomatik tarayıcılar tarafından keşfedilemeyen bazı güvenlik açıkları olduğunu da unutmayalım.”
Yalnızca davetli ödül programları da en büyük ödüllerden bazılarını sunar. Avram’ın açıkladığı gibi, bu özel programların ilk aşaması için yalnızca ‘seçkin’ avcılar – “kalite” güvenlik açıklarını bildirmek için “en iyi üne sahip olanlar” – davet edilir.
Bazı böcek avcıları, bazen bireysel araştırmacılar pahasına, önemli hataları bulma olasılıklarını artırarak ekipler oluşturdular.
Mega ikramiyeler
Öyleyse, araştırmacılar “mega” ödüllerin peşine düşmeli mi? Çoğu, bireyin beceri setine, zamanına ve kariyer hedeflerine bağlı olacaktır.
Birkaç şanslı araştırmacı önemli ödemeler elde edecek, daha büyük bir sayı küçük ama yararlı bir ikinci gelir elde edecek ve daha fazlası değerli bilgisayar korsanlığı deneyimi kazanacak, ancak genellikle yalnızca aralıklı olarak mütevazı ödüller kazanacak.
Canon Avrupa’dan Quentyn Taylor’ın işaret ettiği gibi, daha büyük ödüllerin cazibesine rağmen her zaman çok daha küçük ödüller sunulacak.
“Kesinlikle böcek ödüllerinden geçimini sağlamanın mümkün olduğuna inansam da, mevcut gelirlerini desteklemekten fazlasını yapan çok sayıda insan olduğuna inanmıyorum” diye uyarıyor.
“Entelektüel bir egzersiz olarak güvenlik açığı araştırması yapan araştırmacıların muhtemelen daha çok bireysel yüksek değerli güvenlik açıklarına odaklandığından şüpheleniyorum. Ancak, güvenlik açığı araştırmasının tamamen önce gelmekle ilgili olduğunu unutmayın. İkinciye ödül yok.
Taylor, “Araştırmanız sırasında başka biri aynı güvenlik açığını bulur ve bunu bildirirse, bu güvenlik açığını araştırmak için harcadığınız tüm zaman ödenmeyecektir” diye ekliyor.
İLİŞKİLİ “Kritik hataların hayranı değilim” – Santiago Lopez dünyanın ilk böcek ödülü milyoneri olma yolunda
Pentest People’ın kıdemli danışmanı Liam Follin, “Ödüllendirilebilir böcekleri keşfetmek zor bir iştir” diyor.
“Bir dizi web sitesinde kişisel olarak en az 10 hata bildirdim, ancak bunların zaten rapor edilmiş oldukları ve bu nedenle ödül için uygun olmadıkları konusunda bilgilendirildim. Bu araştırmacıların birçoğunun bu bulguları kovalamak için günde 12 saat veya daha fazla zaman harcadığı düşünülürse, durumun böyle olması şaşırtıcı değil.”
Bazı bilgisayar korsanları da mali ödülle daha az motive olurlar ve çalışmalarının yalnızca kamuoyu tarafından kabul edilmesiyle tatmin olabilirler.
Bu teori araştırmalarla desteklenmektedir – HackerOne’ın 2021 Hacker-Powered Security Raporu, genel olarak kritik bir hatanın ortalama fiyatının 3.000 ABD Doları ve yüksek önem dereceli bir güvenlik açığı için 1.000 ABD Doları, orta düzeyde bir kusur için 500 ABD Doları ve düşük bir güvenlik açığı için yalnızca 150 ABD Doları olduğunu bulmuştur. -önem sorunu.
Risk ve ödül
Bununla birlikte, altı ya da yedi rakamlı ödüller burada kalacak ve sekiz rakamlı daha fazla ödeme kesinlikle kaçınılmaz. Firmalar, iç güvenlik kapasitelerini tamamlamanın ve güvenlik açıklarını ciddiye aldıklarını göstermenin bir yolu olarak ödüllere yatırım yapmaya devam ediyor.
HackerOne’dan Sherrets, “Şahsen, bug bounty programlarını ve bilgisayar korsanlarını bir ‘dikkat ekonomisinde’ piyasa katılımcıları olarak düşünmenin yardımcı olduğunu düşünüyorum” diyor.
“Şirketler varlıklarını sağlamlaştırdıkça veya yeni teknolojilerle iş açısından kritik varlıklar geliştirdikçe, bu varlıklardaki güvenlik açıklarını bulma becerisine sahip bilgisayar korsanlarına olan talep artacak.
“Güçlendirilmiş veya yeni varlıkları hacklemek için özel becerilere sahip sınırlı sayıda bilgisayar korsanı var, bu nedenle daha yüksek ödemeler, bilgisayar korsanlarını programla zaman geçirmeye teşvik etmeye yardımcı oluyor.”
Ve Intel’den Katie Noble’ın öne sürdüğü gibi, artan güvenlik harcamaları hata ödüllerini de artıracaktır.
“Hata ödül programları, bir kuruluşun daha büyük siber savunma araç kitinin bir parçasıdır” diyor. “Bu alanda artan kaynak kullanımı için bir motivasyon, tüm siber savunma ekosisteminde artan kaynak kullanımı olabilir.”
KAÇIRMAYIN Mastodon kullanıcıları parola çalma saldırılarına karşı savunmasız