Что такое баунти программа

Все чаще и чаще мы слышим из новостей о “хакерских атаках” и “взломах”. И это не случайно: согласно отчету организации Center for Strategic and International Studies, мировая экономика из-за киберпреступности теряет около $600 млрд ежегодно.

5838 просмотров

Спрос на услуги кибербезопасности также растет и в 2018 году составит около $96 млрд. На фоне возникновения все новых угроз, рождаются и новые инновационные решения и методы борьбы с хакерскими атаками. Одним из таких решений являются Баг-Баунти Платформы. В этой статье мы вам расскажем о том что такое баг-баунти платформы и как они помогают компаниям защититься от современных киберугроз.

Что такое баг-баунти платформа?

Перед тем как мы расскажем об этом, необходимо объяснить что такое баг-баунти программа.

Баг-баунти программа — это процесс, в котором компания привлекает сторонних специалистов по кибербезопасности (в индустрии мы называем их “белые хакеры” или “рисерчеры”) для тестирования своего программного обеспечения на уязвимости за монетарное вознаграждение. За каждую найденную уязвимость (баг) рисерчер получает вознаграждение (баунти).

Что такое баунти-программы простыми словами — Bounty криптословарь

Компания публично оглашает скоуп (от англ. “Scope” — “объем”) работ, уровень вознаграждения за уязвимости и любой желающий может зарегистрироваться и принимать участие в баг-баунти программе.

Однако, на практике, далеко не каждая компания может позволить себе провести баг-баунти программу самостоятельно.

Почему? Потому что большинство компаний к этому не готовы:

• Если вы не Apple, Google или Пентагон, про вас мало кто знает. Соответственно когда вы скажите всему миру “ура, мы запустили баг-баунти программу, налетая” — к вам никто не придет. Кто вы такие? Почему рисерчеру стоит тратить на вас время? Будете ли вы выплачивать баунти или начнете “пропадать”? Никто вас не знает, никто не знает насколько профессионально вы подходите к делу. Для белых хакеров это большой риск.

• Часто у компаний нет должной инфраструктуры и ресурсов для того чтобы принимать и обрабатывать репорты рисерчеров. Кто будет верифицировать уязвимости, скоуп работ, кто будет каждый день общаться с рисерчерами?

Большинство компаний не обладает достаточным опытом и квалификацией для того, чтобы качественно провести собственную баг-баунти программу.

Поэтому, компании прибегают к помощи так называемых баг-баунти платформ, таких как HackenProof. Это компании, которые специализируются на проведении баг-баунти программ.

Что из себя представляет баг-баунти платформа?

Любая баг-баунти платформа имеет три составляющие:

• Сообщество белых хакеров. Чем больше сообщество, тем сильнее баг-баунти платформа. Это одна из самых важных частей баг-баунти платформы. Компании нарабатывают сообщество белых хакеров годами, тратя большие усилия и ресурсы на комьюнити, чтобы оно постоянно росло.

• Собственная CRM-система, для обработки уязвимостей, которые присылают рисерчеры.

• Помимо CRM-системы и комьюнити белых хакеров, компания располагает своей “In-house” командой специалистов по кибербезопасности, которая занимается проверкой багов которые присылают рисерчеры (таких сотрудников называют — триажерами, а сам процесс — “триаж”). Триажеры также общаются с клиентами.

Как проходит процесс баг баунти программы?

🟠 ВСЕ О БАУНТИ: КАК ЗАРАБОТАТЬ НА КРИПТОВАЛЮТЕ с НУЛЯ #3 | Крипта Для Новичков | Крипто Инвестиции

• К баг-баунти платформе обращается клиент, который хочет провести баг-баунти программу для того чтобы протестировать свои продукты.

• Баг баунти платформа вместе с клиентом составляют так называемый “скоуп” работ. Это документ который детально описывает какие именно уязвимости ищет клиент, на каких ресурсах нужно их искать, какова ценовая политика, и как именно ресерчерам присылать уязвимости на платформу.

• Баг-баунти платформа публикует программу на своем сайте и запускает маркетинговые активности, привлекая белых хакеров принять участие в программе. С этого момента баг-баунти программа считается открытой.

• Начинается сама баг-баунти программа. Ресерчеры находят уязвимости в тестируемом продукте и присылают на сайт баг-баунти платформы через специализированную CRM систему.

• Внутренняя команда триажеров верифицирует каждую присланную уязвимость: проверяет является ли уязвимость уникальной (или была уже найдена другим рисерчером), является ли уязвимость валидной (можно ли ее повторить), находится в пределах скоупа.

• После того как баг был верифицирован командой триажеров, формируется отчет, который направляется клиенту. Это готовый отчет о баге, где детально расписано о том как его воспроизвести и что нужно сделать чтобы “закрыть дыру”.

Шаги 4-5-6 повторяются по кругу. Большие компании могут проводить баг-баунти программы месяцами, а иногда даже годами. Количество багов найденных в одной баг баунти программе может варьироваться от единиц до сотен.

Ну ок, хорошо, баг-баунти программы это инновационный подход, а баг-баунти платформы помогают компаниям эффективно проводить баг-баунти программы.

В чем тогда преимущество баг-баунти платформы над обычной компанией, которая предоставляет услуги по кибербезопасности, и “где тут гешефт”?

Баг-баунти платформы имеют несколько ключевых преимуществ:

• Доступ к человеческому капиталу

Стандартная компания по предоставлению услуг по кибербезопасности, имеет в своем распоряжении в среднем 5-20 сотрудников которые будут тестировать ваш софт. В то время как на баг-баунти платформе зарегистрированы сотни или даже тысячи специалистов, которые специализируются на разных сферах (веб, мобайл, блокчейн протоколы, платежные системы, смарт контракты и т.д.). Баг-баунти платформы имеют доступ к гораздо большему человеческому капиталу чем стандартные компании по предоставлению услуг по кибербезопасности. Это своего рода “аутсорс” услуг по кибербезопасности на весь мир.

• Время тестирования

Тест на проникновение обычно длится около месяца или двух, в то время как баг-баунти программа длится месяцами или даже годами (и все это время ресерчеры будут активно пытаться найти уязвимости в вашем продукте). При таком длительном тестировании, вероятность того что уязвимость не заметят значительно снижается.

• Система вознаграждения

Стандартная компания по предоставлению услуг по кибербезопасности, получает вознаграждение за процесс (проведению теста на проникновение). Клиент заплатит вне зависимости от того сколько багов найдет компания. В то время как баг-баунти программа вознаграждает белых хакеров за подтвержденные баги. То есть система вознаграждения делает акцент именно на количество уязвимостей, а не на сам процесс.

Наш мир становится все более и более “диджитализированным”, продукты более сложными. Компании все больше и больше используют онлайн сервисы для своей работы. Каждый из них обновляясь, может содержать в себе уязвимости, которые хакеры могут использовать и нанести большой вред компаниям.

Баг-баунти (Bug Bounty) — что это такое и сколько этим можно заработать?

Баг-баунти (Bug Bounty) — процесс обнаружения и сообщения об ошибках в программном обеспечении компаний-разработчиков. Раньше для поиска ошибок применялись силы внутренних разработчиков, но благодаря новому подходу компании могут обратиться к пользователям за помощью, чтобы обнаружить проблемы, не нагружая своих сотрудников лишней работой.

Как работает Bug Bounty?

Компании создают программы, которые позволяют тестировать их программное обеспечение на наличие ошибок. После об этом становится известно интернет-сообществам, которые специализируются на этом, в том числе «белым» хакерам, которые занимаются обнаружением уязвимостей с целью помочь владельцам исследуемых ПО или системы. Пользователи могут зарегистрироваться в этих программах и начать искать ошибки. Когда баг найден, о нем сообщается компании, а после подтверждения проблемы хакер получает денежное вознаграждение. В то же время компания занимается исправлением найденной ошибки.

Зачем нужен Bug Bounty?

Уязвимости могут быть использованы злоумышленниками для получения доступа к конфиденциальной информации, в том числе к персональным данным пользователей. Они также могут использоваться для проведения атак на веб-сайты.

Сколько можно заработать на Bug Bounty?

Размер вознаграждения по баг-баунти может значительно варьироваться в зависимости от сложности уязвимости и правил программы, создателями которой являются организации. Некоторые уязвимости могут нести существенную угрозу и, следовательно, оплачиваются гораздо выше. В среднем, исследователи баг-баунти могут заработать от нескольких сотен до нескольких тысяч долларов за найденную уязвимость. Однако нельзя говорить о какой-то общей цифре, так как все зависит от условий программы и самой уязвимости, которую удалось обнаружить.

Успешные баг-баунти-хакеры могут заработать значительные суммы, найдя действительно серьезные проблемы в продуктах компаний. Некоторые известные хакеры заработали сотни тысяч долларов, находя ошибки в продуктах таких крупных компаний, как Facebook, Google, Apple.

Так, В 2020 году Microsoft выплатила исследователям Bug Bounty более 370 000 долларов за найденные ими уязвимости в различных продуктах компании, включая Windows и Office.

Еще одним известным случаем, произошедшим в 2019 году стала история с компанией Capital One, выделившей 100 000 долларов в вознаграждение исследователю за сообщение об уязвимости в своих системах безопасности, которая привела к хакерской атаке и утечке персональных данных более 100 миллионов пользователей.

А в 2021 году Apple заплатила исследователю Бхавуни Санграи 100 000 долларов за нахождение уязвимости в iCloud, которая позволила ему получить доступ к файлам пользователей без их согласия.

Инциденты

К сожалению, существуют печальные случаи, связанные с баг-баунти, когда уязвимости, найденные и сообщенные исследователями, не были достаточно серьезно восприняты и своевременно устранены разработчиками. В результате этого злоумышленники смогли использовать эти уязвимости для взлома сайтов, программ и других целей.

Например, в 2015 году компания Ashley Madison, занимающаяся онлайн-знакомствами для женатых людей, стала жертвой кибератаки, в результате которой были украдены данные 37 миллионов пользователей. Подробный анализ показал, что это произошло из-за недостаточного внимания разработчиков к обнаруженной уязвимости, которая была найдена и сообщена исследователями баг-баунти, но не была устранена вовремя.

Также были случаи, когда некоторые компании использовали баг-баунти, чтобы получить бесплатный аудит безопасности своих систем, не собираясь платить денежное вознаграждение исследователям за найденные уязвимости. Такое поведение может снизить мотивацию исследователей продолжать работу и негативно повлияет на безопасность системы.

Однако, несмотря на такие случаи, баг-баунти все еще является важным инструментом для повышения безопасности в Интернете, и многие компании все еще активно используют его. Важно, чтобы они относились к найденным уязвимостям серьезно и своевременно устраняли их, а исследователи получали достаточное вознаграждение за свою работу.

Известные программы

Существует множество программ по баг-баунти, предлагаемых различными компаниями и организациями. Вот некоторые из наиболее известных:

• Google Vulnerability Rewards Program — одна из самых крупных и популярных программ по баг-баунти. Google предлагает вознаграждение за найденные уязвимости в своих продуктах и сервисах, включая Gmail, Android, Chrome, Google Play и многие другие.
• Apple Security Bounty Program — запущен в 2019 году, Apple предлагает денежные вознаграждения за обнаружение критических уязвимостей в своих продуктах.
• Microsoft Bug Bounty Program — Microsoft предлагает вознаграждение за нахождение уязвимостей в Windows, Office, Edge и других продуктах.
• Facebook Bug Bounty Program — Facebook выплачивает денежное вознаграждение за нахождение уязвимостей в своих приложениях и сервисах, включая Instagram, WhatsApp и Oculus.
• GitHub Security Bug Bounty Program — GitHub предлагает денежные вознаграждения за обнаружение уязвимостей в своей платформе.

Это лишь некоторые из самых известных программ по баг-баунти, и многие другие компании и организации также предлагают свои программы по вознаграждению за нахождение уязвимостей.

Плюсы и минусы Bug Bounty

Bug Bounty является эффективным инструментом для повышения безопасности в интернете. Его плюсы:

• Мотивирует исследователей безопасности обнаруживать уязвимости и помогает компаниям быстро и эффективно исправлять их.
• Снижает риски для пользователей и компаний, которые работают в Интернете, поскольку обнаруженные и устраненные уязвимости предотвращают возможные кибератаки и взломы.
• Помогает компаниям улучшить свою репутацию и доверие пользователей, показывая, что они заботятся о безопасности своих продуктов и сервисов.

Тем не менее, Bug Bounty имеет и ряд минусов:

• Некоторые компании могут использовать баг-баунти для получения бесплатного аудита безопасности своих систем, не выплачивая вознаграждение исследователям, что снижает их мотивацию работать.
• Может быть объективно сложно оценить стоимость уязвимости и размер вознаграждения, что может привести к недовольству исследователей.
• Несмотря на то, что баг-баунти может помочь обнаружить уязвимости и предотвратить кибератаки, это не гарантирует, что они будут полностью исключены, поскольку злоумышленники постоянно ищут новые уязвимости.

Как упоминалось ранее, есть печальные случаи, когда некоторые уязвимости, найденные исследователями, не получили должного внимания со стороны компаний, что привело к серьезным последствиям.

Заключение

Bug Bounty помогает повысить безопасность в интернете, но его использование должно осуществляться осторожно, чтобы избежать возможных негативных последствий. Необходимо находить баланс между мотивацией и вознаграждением исследователей, а со стороны компаний нужна адекватная оценка найденных уязвимостей и их своевременное устранение. Работа в этой области может быть очень эффективной, если ее правильно использовать.

Источник: www.azpassword.ru

Что такое баунти программы?

Интерес работы с криптовалютой растет с каждым днем и это касается не только конкретных действий продажи или покупки, но и специальных программ, которые помогают заработать на криптовалюте, не вкладывая в нее. Bounty – программа ICO, которая помогает зарабатывать на раскрутке криптовалют. Происходит это простым образом.

ICO проводит стартап для предварительного сбора средств, который поможет разрекламировать и создать пиар-компанию. Участником такой программы может быть каждый желающий. Для этого можно стать активистом и всячески рекламировать продукт.

Что такое баунти программы и за что готовы платить разработчики?

Bounty программы – это прекрасная возможность получить токены или биткоины за свои дела, а не за денежные вклады. Вы делаете определенное количество действий рекламного характера на пользу проекта с большим количеством полезной информации, а ICO платит вам за то, что вы активно рекламируете криптовалюту любыми способами. Нужно сказать, что таким образом можно заработать неплохие деньги. В зависимости от того, какие действия по рекламе вы совершаете, вы получаете баунти-награды, которые превращаются в деньги.

Заработать можно активно участвуя в баунти ICO проектах по рекламе в социальных сетях и рассылке email, тематических форумах, переводе информационных статей о ICO на разные языки, поиску багов, дизайнерским услугам и разработке программного обеспечения. Большинство этих действий достаточно простые и понятные, а многие — мы сами часто выполняем.

К примеру, каждый из нас зарегистрирован в социальных сетях, где мы часто делаем репосты статей, подписываемся на страницы или оставляем комментарии по тому или иному поводу. Таким образом можно прорекламировать и криптовалюту. Для такой работы не нужна специализация, при этом вознаграждение достаточно большое. Особенным виртуозам на баунти программы ico проектах получается зарабатывать сотни долларов. Такой большой заработок зависит от программы, которую вы выбираете и насколько много времени ей готовы присвятить.

Реклама в Facebook и Twitter

Самым популярным и простым видом Bounty программы есть работа в Facebook и Twitter. Здесь деньги получают за репосты, ретвиты, подписки и оставление комментариев. На сегодня, это две самые распространенные социальные сети, на которых большинство зарегистрированы и активно пользуются. Например, активному пользователю Twitter предлагается выполнять такие условия:

• подписаться на страницу проекта;
• создавать посты о компании или с использованием названия;
• лайкать и ретвитить записи на странице компании.

Работает такая реклама достаточно активно. Ваша задача привлечь больше фолловеров на свою страницу. Чем их больше, тем больше вы зарабатываете. Такие же действия требуется выполнять и пользователям Facebook.

Подписка на email и переводы статей

Еще два простых и понятных способа, которые пользуются популярностью – это подписка на email или перевод статей с разных языков. Подписка на email заключается в том, чтобы зарегистрироваться на сайте проекта и ввести ящик своей электронной почты для получения новостей. Переводы статей – это наполнение сайта качественным контентом: новостями, субтитрами, письмами и презентациями.

Это один из самых популярных способов получить токены. В данном случае нужно оперативно сработать. После выхода определенной новости требуется ее быстрый перевод и публикация. Качественная и быстрая работа в этом направлении хорошо оплачивается.

Что касается подписки на email, то тут может быть установлено ограничение количества подписчиков.

Форумы, тексты, баги

Bitcointalk.org – это самый большой и популярный форум о криптовалютах и всем, что с ними происходит. Задача здесь состоит в том, чтобы быть участником форума и активно ним пользоваться. Здесь вы должны участвовать во всех разговорах, оставлять комментарии и т. д. Такая активность будет хорошо вознаграждаться.

Тексты — чуть более трудоемкий процесс. Если у вас есть свой сайт, то вы можете использовать его как площадку в качестве рекламы компании. Разместить авторские статьи можно также на других блогах. В целом приветствуется любая полезная информация, грамотно составленная в интересную статью.

Также актуальным действием есть поиск проблем на сайте, недочетов, багов, разработка программ или логотипов, создание сайта в целом.

Таким образом, Bounty программы актуальны для тех, кто не имеет возможности прямо сейчас купить биткоин и не хочет разбираться в системе его добычи, но хочет быть причастным к этому делу. Токены распределяются на кошельки активистов в конце проекта. С ними можно производить разные действия или оставить до повышения цены, таким образом, пассивно зарабатывать.

Мнение из сети:

«Рынок ICO никем не регулируем. Ежедневно появляется десятки новых ICO, которые привлекают деньги под какую-то идею. И каждое ICO надеется собрать хотя минимальную сумму, которой было было бы достаточно для реализации данной идеи. Ведь если минимальная сумма не будет собрана, то и идея не будет реализована.

Обычно в таком случае деньги участникам возвращаются (это так в правилах прописано), а тем, кто участвовал в Bounty программе говорится спасибо. То есть люди могут потратить много своего личного времени, особенно, те кто делают переводы сайта, whitepapers, а в итоге ничего не получат. Так как идея ICO не нашла понимания у вкладчиков и ICO не смог нужную сумму денег привлечь.»

Ивасенко Максим

Крипто-эксперт. Частный крипто-инвестор. Руководитель активно развивающегося DeFi проекта. Крипто-энтузиаст.

Источник: crypto-coin.top