Miks Silicon Valley pöördub oma koodi parandamiseks eksklusiivse häkkerite rühma poole

Kasutaja: Colin / Wikimedia Commons / CC BY-SA 4.0 / Via commons.wikimedia.org

Nagu metsiku lääne väljalülitatud šerifid, on organisatsioonid tehnoloogiahiiglastest valitsusasutusteni viimastel aastatel pöördunud pearahaküttide poole, et end turvaliselt hoida. Need palgasõdurid on häkkerid ja turvauurijad, kellele ettevõtted maksavad oma tarkvara ja seadmete vigade otsimise ja avalikustamise eest. Üha enam aktsepteeritud tava nimetatakse nn vearaha süsteemiks ja see annab häkkeritele seadusliku võimaluse teenida hüvesid tehnika turvalisemaks muutmise eest ilma petturiteta. Sellegipoolest võib protsess olla hirmutav - kuidas saavad ettevõtted leida õige tasakaalu oma toodete häkkimisele avamise ja oma turvatavade range kontrolli all hoidmise vahel?



Traditsioonilised veapreemiaprogrammid, nagu Microsofti, Twitteri ja kümnete muude organisatsioonide juhitavad programmid, on avalikkusele avatud, mis tähendab, et igaüks võib hoiatada leitud vigade eest. Kuid need avalikud vead pakuvad sageli liiga palju stiimuleid, tekitades hulgaliselt üleliigseid vigu, mis võivad olla või mitte olla seotud tegelikult kahjulike haavatavustega. Need võivad masendada ettevõtteid, kes ei ole nendega tegelemiseks loodud. Ja kui ettevõtted ei ole valmis veateadete sissevooluga toime tulema, võivad nad tõsistest turvaaukudest mööda vaadata või reageerida viivitusega.

Probleemiga tegelemiseks on mõned organisatsioonid otsustanud oma veapreemiaprogrammid privaatseks muuta, mis tähendab, et ainult teatud häkkerid ja teadlased saavad vigu esitada. See aitab organisatsioonidel aja jooksul koostada avalikku programmi, kontrollides esituste kvaliteeti ja sagedust. Apple andis märku erasektori hüvedest, kui kuulutas välja oma esimese,privaatnevearaha programm eelmisel nädalal häkkerikonverentsil DefCon. LinkedIn , Tor ja paljud teised üksused hoiavad oma programmid vähemalt praegu suletud. Ettevõtte BugCrowd andmetel, mis korraldab klientidele veapreemiaid, on 63% kõigist selle programmidest alustanud privaatselt, see osa kasvab. Konkurent HackerOne soovitab kõigile klientidele eraprogramme.

'Maailma üleskutsumine võib olla ülekaalukas ja hirmutav protsess,' ütles BugCrowd'i tegevdirektor Jonathan Cran. 'Ettevõtetel on mõttekas alustada usaldusväärsetest inimestest.'



Ja usaldus on suur probleem. Üks põhjus, miks veahaldusprogrammidel läks pärast Netscape'i esimest käivitamist 1995. aastal nii kaua aega, oli arusaam, et need programmid köitsid pahatahtlike häkkerite tähelepanu. Nii et pole üllatav, et enamik organisatsioone alustab oma privaatseid veapreemiaid turvateadlaste rühmaga, kellega neil on juba suhe. Nii hakkab toimima septembris algav Apple'i programm. Crani sõnul on eraprogrammi stardibassein tavaliselt 50–100 teadlase vahel, kuigi ta on näinud, et programme käivitatakse vaid kahega. Lisaks sellele, et tagada hallatav germane aruannete voog, aitab väike alustamine ettevõtetel saada üldpilti võimalike võimaluste kohta. See on viis, kuidas korporatsioonid, kes teevad esmakordselt preemiaid, kasta oma varbad vette enne börsile minekut.

'Saate teada, et olete mõnes valdkonnas turvalisem, kui arvasite, ja teistes vähem turvaline,' ütles CTO ja HackerOne'i kaasasutaja Alex Rice. 'Võib olla asju, millest te pole täiesti teadlik, näiteks hooldamata koodi haavatavused.' Nende probleemide leviku kindlaksmääramine aitab Rice'i sõnul ettevõtetel määrata konkurentsivõimelisi hindu ja standardiseerida, kui kiiresti nad veateateid käsitlevad (mis on mõnikord pingeallikas suurte veapreemiaprogrammides ).

Tulu komplikatsioonide sulgemisel

Mõned on vaidlustanud siiski, et sellised programmid annavad häkkeritele märku, et neil on tulusal eraturul ekspluateerimise leidmiseks ja müümiseks piiratud aeg. Teisisõnu, et nad julgustavad pahatahtlikke häkkereid leidma kõik võimalused, mida nad suudavad, enne kui programm veaotsijatele avatakse.



'Igaüks, keda parandate, kustutate selle väärtuse mustal turul,' ütles Rice. Vähem kui nädal pärast Apple'i teadaannet oli privaatne turvafirma pakkus iOS-i nullpäevase tegevuse eest 500 000 dollarit, mis on kaks korda suurem kui Apple'i programmi suurim raha . (Kuigi, tohutud summad iOS-i nullpäeva jaoks pole midagi uut.)

Eraprogrammide teine ​​keerukus on see, et neil on potentsiaal teadlasi võõrandada. Bug bounty programmide üks peamisi eeliseid on stimuleerida inimesi, kes oskavad häkkida ettevõtteid ja valitsusi, neid andeid lõplikult kasutama. Kuigi paljud ettevõtted, sealhulgas Apple, aktsepteeriksid tõenäoliselt häkkeri kehtivat aruannet, mis pärineb häkkerilt, kes ei ole oma privaatne viga, ei pruugi selline häkker mõelda, et esitaks selle esmalt eraprogrammile.

Kuid enamik privaatseid hüvitisprogramme plaanib lõpuks laieneda avalikumaks, mida Apple ütleb, et see lõpuks ka teeb. Rice ütles, et HackerOne'i programmid on olnud privaatsed kolmest päevast kolme aastani, kuigi tavaliselt kestavad need umbes kolm kuud. Cran ütleb, et BugCrowd soovitab enamiku klientide jaoks kuus kuud. Tõepoolest, ideaalmaailmas kuulutatakse välja kõrgetasemelist eraprogrammi, näiteks Apple'i signaale häkkeritele, et ettevõte kavatseb Crani sõnul lõpuks asjade eest maksta, ja näpunäide iOS-seadme avamiseks. ja testida, isegi kui programm on esmalt suletud.



'Kõik eeldavad, et eraprogrammidel on ranged piirangud,' ütles Microsofti esimese vearaha loonud ja hiljuti kaitseministeeriumi programmi Hack the Pentagon osas nõustanud turvakonsultant Katie Moussouris. 'Kuid see on pigem tajumise probleem kui juurdepääsuprobleem. Üks suurimaid probleeme on lihtsalt segadus, kuidas kutsuda end esialgu privaatsesse programmi. ”

Ja varakult asjade juurde asumine. Seani söögikorrad Melia on HackerOne'i kõigi aegade edetabeli kõrgeima taseme häkker oma varalise 'maine' näitaja järgi. Ta teenib pearahaga rohkem raha kui igapäevane töö turvafirmas - 'Ja teen oma tavalisel töökohal head raha,' ütles ta BuzzFeed Newsile. Kuid isegi Melia, usaldusväärse häkkeri pilt, kutsuti hiljutisele suurele erakapitalile alles peaaegu aasta pärast selle käivitamist.

Selleks ajaks, kui Melia juurde pääses, olid inimesed juba läbi käinud ja korjasid ära palju madalalt rippuvaid puuvilju, ”ütles ta. 'Olin üsna pahane. On masendav näha inimesi, kellel on madal maine või kes on platvormi jaoks uued, enne mind kutsutud. ' On lihtne ette kujutada, et masendunud häkker, kes on välja jäetud sellisest bounty programmist nagu Apple, pöördub eraturule.

Sellegipoolest, nagu eraõiguslike veahaldurite pooldajad kiirustavad märkima, on ettevõtetel alati olnud privaatne vea testimine, mis jättis valdava enamuse häkkeritest kõrvale. Isegi kui nad on privaatsed, on kasvav vigade tasumine märk sellest, et isegi kõige ettevaatlikumad organisatsioonid, alates Apple'ist ja lõpetades Ameerika valitsusega, on mõistnud, et neil on vaja - seda vajavad kõik - suurema küberjulgeolekukogukonna osalemist. süsteemid ja tooted võimalikult turvalised.

'Traditsiooniliselt ei rääkinud inimesed sellest, et neil oli eraprogramm,' ütles Moussouris, kes konsulteeris enne programmi väljakuulutamist Apple'iga. 'See on mõtteviisi muutus. Samuti öeldakse kogu maailmale, et oleme sellele kontseptsioonile avatud, kuid me õpime ka seda protsessi läbides. '