Видео: Facebook Hacker Cup 2020 Qual' (2nd place) (Септември 2024)
Какво получавате, когато поставите някои хакери в стая и им дадете списък с целеви уебсайтове? Те отиват на лов на бъгове!
Именно това се случи на Bug Bash 2013, „интернет хак-а-трон“, провеждан от Bugcrowd по време на конференцията на AppSec USA в Ню Йорк по-рано тази седмица. Приблизително 80 души участваха в рамките на три вечери, а „стотици“ участваха дистанционно през интернет, каза Кейси Джон Елис, основател и изпълнителен директор на Bugcrowd. Участниците изпратиха идентифицираните грешки на Bugcrowd и екипът повтори условията, водещи до грешката, за да потвърди проблема.
Списъкът с цели включва компании като Facebook, Google, Etsy, Prezi и Yandex. Тестерите за сигурност, които взеха участие, идентифицираха над 220 грешки, каза Елис. В по-голямата си част проблемите бяха със световния цикъл на въртене, включително някои уязвимости и байпасни уязвимости.
"Все още не съм чувал за някакви екзотични уязвимости, но все още анализираме нашите данни", каза Елис.
Bugcrowd планира да публикува повече подробности за вида на непокритите грешки и информация за събитието на по-късна дата. Базираният в Сан Франциско стартира програми, където групи хора работят заедно, за да намерят бъгове в уебсайтове и приложения. След като потвърди, че съобщенията за грешки са законни, той обработва процеса на уведомяване на подходящи доставчици.
Обувки за бъгове
Програмите за награди за бъгове стават все по-популярни, тъй като компаниите насърчават изследователите да им предават директно доклади за грешки, вместо да ги продават на правителството или да ги предлагат за експлоатация на брокери. Неподаването на грешка на доставчика означава, че купувачът може да използва тези уязвимости за собствени цели и оставя потребителите незащитени от този недостатък на софтуера.
Mozilla и Google вероятно имат най-известните програми за бъгове, но много други компании сега предлагат някаква програма (дълъг, но не пълен списък е тук). Фейсбук обяви през август, че е изплатил милион долара в щедрости през последните две години.
Не всички бъгове отговарят на условията за тези програми. Например, Facebook пояснява, че тяхната програма обхваща само въпроси, които биха могли „да нарушат целостта на потребителските данни на Facebook, да заобиколят защитата на поверителността на потребителските данни на Facebook или да дадат достъп до система в рамките на инфраструктурата на Facebook“. Microsoft стартира поредица от награди наскоро и беше много специфичен в вида на проблемите, които търсеше.
Bug Bash 2013
На този етап е трудно да се прецени колко струват грешките, разкрити като част от Bug Bash, тъй като програмите за багги се различават толкова много по колко плащат. Някои програми плащат няколкостотин долара, а други плащат няколко хиляди долара. Важно е също така да се отбележи, че всяка компания има конкретни правила за това, какво признават за грешка и какви видове проблеми са обхванати от програмата за багъри.
Въпреки че са изпратени 220 грешки, зависи от доставчика да реши дали проблемите отговарят на условията за изплащане. И дори да има изплащане, зависи и от продавача, който да реши сумата. Въпреки това, дори ако всеки един от 200+ бъгове струва само няколко стотин долара, това не е лошо за няколко часа работа в продължение на три дни.
Представителите на Facebook дори бяха на разположение по време на събитията, за да дадат представа за програмите си за бъгове, както и да отговарят на въпроси от участниците.
Хората, които са били в обучения, изучавайки различни техники, се спираха, за да участват в груповото хакване, заяви Том Бренан, член на борда на OWASP Foundation и един от организаторите за AppSec USA. Хората си сътрудничеха, докато работеха по цели и се молеха за помощ един от друг. Намирането на бъгове не е автоматизиран процес, тъй като всъщност изисква от хората да помислят за това, което виждат и съответно да коригират техниките си. Средата за сътрудничество, в която хората могат да отскачат идеи един от друг, може да бъде "много ефективна" за лов на бъгове, каза Бренан.
