Что такое баг-баунти платформы и как они работают? — Офтоп на vc.ru
{«id»:13995,»url»:»\/distributions\/13995\/click?bit=1&hash=9684873e8b22273a7e39d7d49e12ae9b303e3ee4695a6892d0d2a65940555ba2″,»title»:»\u0427\u0435\u0441\u0442\u043d\u044b\u0439 \u043e\u0431\u0437\u043e\u0440 \u043d\u0430 RuStore «,»buttonText»:»\u0427\u0438\u0442\u0430\u0442\u044c»,»imageUuid»:»7b5ca54f-2737-5b03-999b-d8abddf9dc36″}
Все чаще и чаще мы слышим из новостей о “хакерских атаках” и “взломах”. И это не случайно: согласно отчету организации Center for Strategic and International Studies, мировая экономика из-за киберпреступности теряет около $600 млрд ежегодно.
5865 просмотров
Спрос на услуги кибербезопасности также растет и в 2018 году составит около $96 млрд. На фоне возникновения все новых угроз, рождаются и новые инновационные решения и методы борьбы с хакерскими атаками. Одним из таких решений являются Баг-Баунти Платформы. В этой статье мы вам расскажем о том что такое баг-баунти платформы и как они помогают компаниям защититься от современных киберугроз.
Что такое баг-баунти платформа?
Перед тем как мы расскажем об этом, необходимо объяснить что такое баг-баунти программа.
Баг-баунти программа — это процесс, в котором компания привлекает сторонних специалистов по кибербезопасности (в индустрии мы называем их “белые хакеры” или “рисерчеры”) для тестирования своего программного обеспечения на уязвимости за монетарное вознаграждение. За каждую найденную уязвимость (баг) рисерчер получает вознаграждение (баунти).
Компания публично оглашает скоуп (от англ. “Scope” — “объем”) работ, уровень вознаграждения за уязвимости и любой желающий может зарегистрироваться и принимать участие в баг-баунти программе.
Однако, на практике, далеко не каждая компания может позволить себе провести баг-баунти программу самостоятельно.
Почему? Потому что большинство компаний к этому не готовы:
- Если вы не Apple, Google или Пентагон, про вас мало кто знает. Соответственно когда вы скажите всему миру “ура, мы запустили баг-баунти программу, налетая” — к вам никто не придет. Кто вы такие? Почему рисерчеру стоит тратить на вас время? Будете ли вы выплачивать баунти или начнете “пропадать”? Никто вас не знает, никто не знает насколько профессионально вы подходите к делу. Для белых хакеров это большой риск.
- Часто у компаний нет должной инфраструктуры и ресурсов для того чтобы принимать и обрабатывать репорты рисерчеров. Кто будет верифицировать уязвимости, скоуп работ, кто будет каждый день общаться с рисерчерами?
Большинство компаний не обладает достаточным опытом и квалификацией для того, чтобы качественно провести собственную баг-баунти программу.
Поэтому, компании прибегают к помощи так называемых баг-баунти платформ, таких как HackenProof. Это компании, которые специализируются на проведении баг-баунти программ.
Что из себя представляет баг-баунти платформа?
Любая баг-баунти платформа имеет три составляющие:
- Сообщество белых хакеров. Чем больше сообщество, тем сильнее баг-баунти платформа. Это одна из самых важных частей баг-баунти платформы. Компании нарабатывают сообщество белых хакеров годами, тратя большие усилия и ресурсы на комьюнити, чтобы оно постоянно росло.
- Собственная CRM-система, для обработки уязвимостей, которые присылают рисерчеры.
- Помимо CRM-системы и комьюнити белых хакеров, компания располагает своей “In-house” командой специалистов по кибербезопасности, которая занимается проверкой багов которые присылают рисерчеры (таких сотрудников называют — триажерами, а сам процесс — “триаж”). Триажеры также общаются с клиентами.
Как проходит процесс баг баунти программы?
- К баг-баунти платформе обращается клиент, который хочет провести баг-баунти программу для того чтобы протестировать свои продукты.
- Баг баунти платформа вместе с клиентом составляют так называемый “скоуп” работ. Это документ который детально описывает какие именно уязвимости ищет клиент, на каких ресурсах нужно их искать, какова ценовая политика, и как именно ресерчерам присылать уязвимости на платформу.
- Баг-баунти платформа публикует программу на своем сайте и запускает маркетинговые активности, привлекая белых хакеров принять участие в программе. С этого момента баг-баунти программа считается открытой.
- Начинается сама баг-баунти программа. Ресерчеры находят уязвимости в тестируемом продукте и присылают на сайт баг-баунти платформы через специализированную CRM систему.
- Внутренняя команда триажеров верифицирует каждую присланную уязвимость: проверяет является ли уязвимость уникальной (или была уже найдена другим рисерчером), является ли уязвимость валидной (можно ли ее повторить), находится в пределах скоупа.
- После того как баг был верифицирован командой триажеров, формируется отчет, который направляется клиенту. Это готовый отчет о баге, где детально расписано о том как его воспроизвести и что нужно сделать чтобы “закрыть дыру”.
Шаги 4-5-6 повторяются по кругу. Большие компании могут проводить баг-баунти программы месяцами, а иногда даже годами. Количество багов найденных в одной баг баунти программе может варьироваться от единиц до сотен.
Ну ок, хорошо, баг-баунти программы это инновационный подход, а баг-баунти платформы помогают компаниям эффективно проводить баг-баунти программы.
В чем тогда преимущество баг-баунти платформы над обычной компанией, которая предоставляет услуги по кибербезопасности, и “где тут гешефт”?
Баг-баунти платформы имеют несколько ключевых преимуществ:
- Доступ к человеческому капиталу
Стандартная компания по предоставлению услуг по кибербезопасности, имеет в своем распоряжении в среднем 5-20 сотрудников которые будут тестировать ваш софт. В то время как на баг-баунти платформе зарегистрированы сотни или даже тысячи специалистов, которые специализируются на разных сферах (веб, мобайл, блокчейн протоколы, платежные системы, смарт контракты и т.д.). Баг-баунти платформы имеют доступ к гораздо большему человеческому капиталу чем стандартные компании по предоставлению услуг по кибербезопасности.
- Время тестирования
Тест на проникновение обычно длится около месяца или двух, в то время как баг-баунти программа длится месяцами или даже годами (и все это время ресерчеры будут активно пытаться найти уязвимости в вашем продукте). При таком длительном тестировании, вероятность того что уязвимость не заметят значительно снижается.
- Система вознаграждения
Стандартная компания по предоставлению услуг по кибербезопасности, получает вознаграждение за процесс (проведению теста на проникновение). Клиент заплатит вне зависимости от того сколько багов найдет компания. В то время как баг-баунти программа вознаграждает белых хакеров за подтвержденные баги. То есть система вознаграждения делает акцент именно на количество уязвимостей, а не на сам процесс.
Наш мир становится все более и более “диджитализированным”, продукты более сложными. Компании все больше и больше используют онлайн сервисы для своей работы.
Каждый из них обновляясь, может содержать в себе уязвимости, которые хакеры могут использовать и нанести большой вред компаниям.Мы должны поменять свое мировоззрение и принять тот факт, что защита от кибер угроз больше не может быть дискретной (проверка софта на уязвимости время от времени), она должна стать постоянной (постоянная проверка софта на уязвимости). Только так компании могут эффективно защититься от хакеров.
Баунти (Bounty) программы и проекты
Интерес работы с криптовалютой растет с каждым днем и это касается не только конкретных действий продажи или покупки, но и специальных программ, которые помогают заработать на криптовалюте, не вкладывая в нее. Bounty – программа ICO, которая помогает зарабатывать на раскрутке криптовалют. Происходит это простым образом. ICO проводит стартап для предварительного сбора средств, который поможет разрекламировать и создать пиар-компанию. Участником такой программы может быть каждый желающий. Для этого можно стать активистом и всячески рекламировать продукт.
Что такое баунти программы и за что готовы платить разработчики?
Bounty программы – это прекрасная возможность получить токены или биткоины за свои дела, а не за денежные вклады. Вы делаете определенное количество действий рекламного характера на пользу проекта с большим количеством полезной информации, а ICO платит вам за то, что вы активно рекламируете криптовалюту любыми способами. Нужно сказать, что таким образом можно заработать неплохие деньги. В зависимости от того, какие действия по рекламе вы совершаете, вы получаете баунти-награды, которые превращаются в деньги.
Заработать можно активно участвуя в баунти ICO проектах по рекламе в социальных сетях и рассылке email, тематических форумах, переводе информационных статей о ICO на разные языки, поиску багов, дизайнерским услугам и разработке программного обеспечения. Большинство этих действий достаточно простые и понятные, а многие — мы сами часто выполняем. К примеру, каждый из нас зарегистрирован в социальных сетях, где мы часто делаем репосты статей, подписываемся на страницы или оставляем комментарии по тому или иному поводу. Таким образом можно прорекламировать и криптовалюту. Для такой работы не нужна специализация, при этом вознаграждение достаточно большое. Особенным виртуозам на баунти программы ico проектах получается зарабатывать сотни долларов. Такой большой заработок зависит от программы, которую вы выбираете и насколько много времени ей готовы присвятить.
Реклама в Facebook и Twitter
Самым популярным и простым видом Bounty программы есть работа в Facebook и Twitter. Здесь деньги получают за репосты, ретвиты, подписки и оставление комментариев. На сегодня, это две самые распространенные социальные сети, на которых большинство зарегистрированы и активно пользуются. Например, активному пользователю Twitter предлагается выполнять такие условия:
- подписаться на страницу проекта;
- создавать посты о компании или с использованием названия;
- лайкать и ретвитить записи на странице компании.
Работает такая реклама достаточно активно. Ваша задача привлечь больше фолловеров на свою страницу. Чем их больше, тем больше вы зарабатываете. Такие же действия требуется выполнять и пользователям Facebook.
Подписка на email и переводы статей
Еще два простых и понятных способа, которые пользуются популярностью – это подписка на email или перевод статей с разных языков. Подписка на email заключается в том, чтобы зарегистрироваться на сайте проекта и ввести ящик своей электронной почты для получения новостей. Переводы статей – это наполнение сайта качественным контентом: новостями, субтитрами, письмами и презентациями. Это один из самых популярных способов получить токены. В данном случае нужно оперативно сработать. После выхода определенной новости требуется ее быстрый перевод и публикация. Качественная и быстрая работа в этом направлении хорошо оплачивается.
Что касается подписки на email, то тут может быть установлено ограничение количества подписчиков.
Форумы, тексты, баги
Bitcointalk.org – это самый большой и популярный форум о криптовалютах и всем, что с ними происходит. Задача здесь состоит в том, чтобы быть участником форума и активно ним пользоваться. Здесь вы должны участвовать во всех разговорах, оставлять комментарии и т. д. Такая активность будет хорошо вознаграждаться.
Тексты — чуть более трудоемкий процесс. Если у вас есть свой сайт, то вы можете использовать его как площадку в качестве рекламы компании. Разместить авторские статьи можно также на других блогах. В целом приветствуется любая полезная информация, грамотно составленная в интересную статью.
Также актуальным действием есть поиск проблем на сайте, недочетов, багов, разработка программ или логотипов, создание сайта в целом.
Таким образом, Bounty программы актуальны для тех, кто не имеет возможности прямо сейчас купить биткоин и не хочет разбираться в системе его добычи, но хочет быть причастным к этому делу. Токены распределяются на кошельки активистов в конце проекта. С ними можно производить разные действия или оставить до повышения цены, таким образом, пассивно зарабатывать.
Мнение из сети:
«Рынок ICO никем не регулируем. Ежедневно появляется десятки новых ICO, которые привлекают деньги под какую-то идею. И каждое ICO надеется собрать хотя минимальную сумму, которой было было бы достаточно для реализации данной идеи. Ведь если минимальная сумма не будет собрана, то и идея не будет реализована. Обычно в таком случае деньги участникам возвращаются (это так в правилах прописано), а тем, кто участвовал в Bounty программе говорится спасибо. То есть люди могут потратить много своего личного времени, особенно, те кто делают переводы сайта, whitepapers, а в итоге ничего не получат. Так как идея ICO не нашла понимания у вкладчиков и ICO не смог нужную сумму денег привлечь.»
Автор
Ивасенко Максим
Крипто-эксперт. Частный крипто-инвестор. Руководитель активно развивающегося DeFi проекта. Крипто-энтузиаст.
Что такое Bug Bounty? Как они работают? [С примерами]
Вы ищете примеры наград за ошибки? Мы объясним, что такое вознаграждения за ошибки, и покажем вам, как они работают, шаг за шагом, используя реальные примеры.
Как работают вознаграждения за обнаружение ошибок?
Компании создают вознаграждения за обнаружение ошибок, чтобы предоставить финансовые стимулы независимым охотникам за вознаграждением за обнаружение ошибок, которые обнаруживают уязвимости безопасности и слабые места в системах. Когда охотники за головами сообщают о действительных ошибках, компании платят им за обнаружение брешей в безопасности до того, как это сделают злоумышленники.
Что такое Bug Bounty?
Награда за обнаружение ошибок — это денежное вознаграждение, выплачиваемое этичным хакерам за успешное обнаружение уязвимости или ошибки и сообщение об ошибке разработчику приложения. Программы Bug Bounty позволяют компаниям использовать хакерское сообщество для постоянного улучшения состояния безопасности своих систем.
Хакеры по всему миру охотятся за ошибками и в некоторых случаях зарабатывают на этом полный рабочий день. Бонусные программы привлекают широкий круг хакеров с разным набором навыков и опытом, что дает компаниям преимущество перед тестами, в которых для выявления уязвимостей могут использоваться менее опытные группы безопасности.
Bounty-программы часто дополняют обычное тестирование на проникновение и предоставляют организациям возможность проверять безопасность своих приложений на протяжении всего жизненного цикла разработки.
Как работает программа Bug Bounty?
Предприятия, запускающие программы поощрения, должны сначала определить объем и бюджет своих программ. Область действия определяет, какие системы может тестировать хакер, и описывает, как проводится тестирование. Например, некоторые организации держат определенные домены закрытыми или включают в себя, что тестирование не оказывает влияния на повседневные бизнес-операции. Это позволяет им проводить тестирование безопасности без ущерба для общей организационной эффективности, производительности и, в конечном счете, итоговых результатов.
Награды за обнаружение ошибок с конкурентоспособными выплатами говорят хакерскому сообществу, что компании серьезно относятся к раскрытию уязвимостей и обеспечению безопасности. Программы основывают уровни вознаграждения на серьезности уязвимостей, и вознаграждение увеличивается по мере увеличения потенциального воздействия.
Деньги — не единственная мотивация хакерского сообщества. Такие системы, как списки лидеров, в которых хакерам приписывают открытия, помогают им добиваться признания.
Как только хакер обнаруживает ошибку, он заполняет отчет о раскрытии информации, в котором подробно описывается, что это за ошибка, как она влияет на приложение и какой уровень серьезности она оценивает. Хакер включает ключевые шаги и детали, чтобы помочь разработчикам воспроизвести и проверить ошибку. Как только разработчики просматривают и подтверждают ошибку, компания выплачивает вознаграждение хакеру.
Выплаты варьируются в зависимости от серьезности и варьируются от нескольких тысяч долларов до миллионов долларов в зависимости от компании и потенциального воздействия ошибки. Разработчики будут расставлять приоритеты входящих отчетов об ошибках в зависимости от серьезности и работать над устранением ошибки. После исправления ошибки разработчики проводят повторное тестирование, чтобы подтвердить решение проблемы.
Примеры программ вознаграждений за обнаружение ошибок
Некоторые крупнейшие мировые бренды используют программы вознаграждений для обеспечения безопасности своих приложений и клиентов. Ниже приведены три примера компаний, которые используют HackerOne для запуска своих программ вознаграждений.
Shopify
Shopify предоставляет услуги электронной коммерции более чем полумиллиону предприятий по всему миру, поэтому безопасность является главным приоритетом для успеха бизнеса Shopify. На сегодняшний день Shopify выплатила хакерам вознаграждение в размере более 1 580 000 долларов США и предлагает до 30 000 долларов США за сообщения о критических уязвимостях.
В декабре 2020 года хакер обнаружил критическую уязвимость, которая позволяла несанкционированный доступ к торговым счетам. Из-за программы вознаграждения за ошибки хакер уведомил команду Shopify, которая может исправить ошибку к кануну Рождества, одному из самых больших дней покупок в электронной коммерции.
Хакер @cache-money получил вознаграждение в размере 15 000 долларов плюс бонус в размере 250 долларов за свое открытие и раскрытие информации.
Yelp
Yelp связывает поисковиков с крупными местными компаниями по всему миру. Yelp использует HackerOne с 2014 года для управления своей программой вознаграждений. Видя ценность в хакерском сообществе, Yelp имеет 19 различных доменов, включая все, от мобильных приложений до систем электронной почты. На сегодняшний день Yelp использовала свою программу вознаграждения за обнаружение ошибок, чтобы исправить более 300 уязвимостей, и продолжает добавлять новые приложения и домены в свою дорожную карту.
Mail.ru Group
С 2014 года в рамках программы Bug Bounty Mail.ru Group было устранено более 4300 уязвимостей. Недавно Mail.ru Group превысила 1 миллион долларов в виде выплат хакерам, которые помогли Mail.ru защитить их почтовый хостинг.
Mail.ru Group платит до 35 000 долларов США за раскрытие самых серьезных ошибок и использует подробную электронную таблицу, чтобы помочь хакерам понять предполагаемую выплату в зависимости от скомпрометированной системы и уровня серьезности. Mail.ru Group доходит до того, что платит за ошибки, обнаруженные в приложениях поставщиков-партнеров Mail.ru.
Как настроить собственную программу поощрения ошибок?
Традиционно для создания программы вознаграждения за обнаружение ошибок компаниям требовалось создать свою коммуникационную платформу, внедрить системы отслеживания ошибок и интегрироваться в платежные шлюзы. Теперь настроить программу вознаграждения за обнаружение ошибок с помощью HackerOne очень просто. Платформа HackerOne позволяет организациям устанавливать масштабы, отслеживать отчеты об ошибках и управлять выплатами из одного места.
Подробные отчеты о показателях позволяют командам безопасности в режиме реального времени следить за ходом выполнения своих программ вознаграждения за обнаружение ошибок и позволяют компаниям быстро устанавливать индивидуальные соглашения об уровне обслуживания для устранения новых случаев раскрытия информации.
Чем может помочь HackerOne
HackerOne использует крупнейшее и самое разнообразное сообщество хакеров в мире, чтобы обеспечить безопасность бизнеса, предоставляя универсальную платформу для непрерывного и всестороннего тестирования безопасности. Платформа использует упрощенный подход к поиску и устранению ошибок, поддерживая все, от раскрытия информации до выплаты, на единой панели инструментов.
HackerOne — крупнейшая в мире хакерская платформа безопасности. Узнайте больше о программах вознаграждения за обнаружение ошибок здесь и свяжитесь с нами сегодня, чтобы запустить свою первую программу вознаграждения за обнаружение ошибок.
Bounty Programs Определение
Что такое Bounty Programs?
Бонусные программы — это поощрения, предлагаемые множеству участников за различные действия, связанные с первоначальным предложением монет (ICO). Первичное размещение монет (ICO) — это версия первичного публичного размещения (IPO) криптовалютной индустрии. Компания, стремящаяся собрать деньги для создания новой монеты, приложения или службы виртуальной валюты, запускает ICO как способ сбора средств. Программа вознаграждений распределяет вознаграждения или жетоны для участников, выполняющих определенные задачи, которые помогают продвигать ICO.
Bounty-программы берут свое начало в мире цифровых видеоигр. Иногда геймерам, помогающим в разработке игр, предлагаются различные виды привилегий, особенно те, которые позволяют выявлять ошибки в игре.
Key Takeaways
- Bounty-программы используются разработчиками криптомонет для стимулирования действий перед первичным предложением монет (ICO) разработчиками и маркетологами.
- После ICO программы вознаграждений могут использоваться для получения отзывов о коде проекта от внешних разработчиков или для вознаграждения за продвижение монеты в медиа-каналах.
- Bounty-программы действуют в серой правовой зоне между маркетингом и мошенничеством в стиле финансовой пирамиды. SEC использовала программы вознаграждений ICO как доказательство преступных действий.
Общие сведения о бонусных программах (ICO)
Участники программы Bounty распределены по разным этапам ICO, начиная от инвесторов и заканчивая промоутерами и разработчиками ICO. Поощрения могут принимать форму денежного вознаграждения (хотя это бывает редко) или бесплатных (или со скидкой) токенов, которые можно обналичить позже, когда токены будут размещены на бирже.
Обвал рынка ICO в конце 2018 и 2019 годах резко сократил количество активных программ вознаграждений. Кроме того, программы вознаграждений, ориентированные на маркетинг, использовались во времена расцвета криптовалютного пузыря для поощрения мошенничества, что должно заставить разработчиков криптовалюты опасаться их использования.
В целом ICO состоит из двух этапов: pre-ICO и post-ICO.
Пре-ICO
На первом этапе, который также известен как pre-ICO, предложение продается потенциальным инвесторам и людям, желающим выполнять задачи, чтобы сделать ICO более прибыльным. Программисты, влиятельные лица в социальных сетях, авторы блогов, маркетологи и другие заинтересованные стороны работают над повышением осведомленности о проекте и предстоящем ICO. На этом этапе программы вознаграждений обычно сосредотачивают свои ресурсы на платформах социальных сетей.
Разработчики получают значительную часть токенов в качестве оплаты за свое участие в кодировании проекта. Эти токены можно обменять на фиатную валюту, когда токены будут перечислены на бирже. Например, Ethereum и Zcash проводили крупные кампании вознаграждений за разработчиков, которые помогли настроить блокчейн.
Влиятельные люди в социальных сетях и авторы блогов снимают видео, пишут статьи или распространяют информацию об ICO на популярных платформах. Им платят в зависимости от взаимодействия их контента с аудиторией. Маркетологи Bitcointalk Signature Bounty являются членами bitcointalk, популярного дискуссионного форума для криптоэнтузиастов.
Пост-ICO
После ICO можно использовать программы вознаграждений, чтобы стимулировать разработчиков находить ошибки или оставлять отзывы о других элементах дизайна. Кодировщики, которые тестируют и обнаруживают недостатки в блокчейне, получают вознаграждение, известное как вознаграждение за обнаружение ошибок.
Фокус после ICO смещается на тонкую настройку выпущенного блокчейна. Таким образом, вознаграждение за вознаграждение также может быть предложено переводчикам, которые помогают обеспечить глобальный доступ к блокчейну, переводя документы, связанные с разработкой и маркетингом.
Критика бонусных программ
После того, как в 2018 году лопнул биткойн-пузырь, некоторые программы вознаграждений ICO начали тщательно изучаться на предмет их сходства со схемами накачки и сброса на внебиржевых (OTC) фондовых рынках. Многие компании используют программы вознаграждений, потому что хотят извлечь выгоду из возможности передать маркетинг на аутсорсинг обычным людям, тем самым воспользовавшись недорогим и эффективным способом распространения информации об их ICO.
Критики утверждают, что притворяться незаинтересованной стороной, продвигая ценность инвестиций любого рода (и получая тайные деньги за это продвижение), неэтично, даже если это не является незаконным.
В 2018 году, после расследования мошеннического ICO, Роберт А.