تحتوي جميع البرامج على أخطاء أو عيوب تؤدي إلى حدوث مشكلات. وهي تتراوح من المشكلات العادية التي لا تؤثر على أداء البرامج بأي طريقة رئيسية ، إلى الثغرات الأمنية الخطيرة.
قد يكون من الصعب اكتشاف الأخطاء ، وهذا هو السبب في أن العديد من شركات التكنولوجيا لديها برامج مكافآت أخطاء. ولكن ما هي بالضبط برامج مكافأة الأخطاء؟ كيف يعملون وكيف يساعدون في تحسين أمان المنتج؟
كيف تعمل برامج Bug Bounty
تطلق الشركات برامج مكافآت الأخطاء من أجل التحفيز قراصنة القبعة البيضاء للبحث عن ثغرات أمنية ونقاط ضعف مماثلة في البرامج. عادة ما يكون هناك أكثر من جائزة مالية لائقة لأولئك الذين يكتشفون خطأ ما ، بغض النظر عن مدى عدم أهميته بالنسبة للشخص العادي.
وليست الشركات الصغيرة والناشئة فقط التي لديها برامج مكافآت أخطاء. في الواقع ، يديرها معظم عمالقة التكنولوجيا ، بما في ذلك Google و Microsoft و Facebook و Apple. يمكن العثور على تفاصيل حول هذه البرامج عادةً على موقع الويب الرسمي للشركة. في كثير من الأحيان ، هناك العديد من المستويات أو الفئات. ولكن من حيث المبدأ ، كلما زادت أهمية الخطأ ، زادت المكافأة.
بمجرد أن يكتشف المتسلل ذو القبعة البيضاء خطأ ما ، فإنه يرسل تقرير إفصاح مفصل يشرح ما وجده. يقوم مهندسو الشركة بعد ذلك بمراجعة التقديم والتحقيق فيه ، وإذا تبين أن نتائج الباحث دقيقة ومفيدة ، يتم إخطارهم والحصول على مكافأة مالية.
يعمل هذا النظام لكل من الشركات والباحثين المستقلين. من وجهة نظر أي شركة ، من الأفضل أن يكتشف المخترق الأخلاقي خطأً من أن يكتشف أحد الفاعلين التهديد ، والذي من المرجح أن ينتقل إلى استغلالها قبل أن يتم تصحيحها، يحتمل أن يتسبب في أضرار بالملايين. من ناحية أخرى ، يقوم المتسللون بإجراء قدر كبير من التغيير من خلال المشاركة في برامج مكافآت الأخطاء - حتى أن بعضهم يكسب دخلًا بدوام كامل لاكتشاف نقاط الضعف في البرامج.
أمثلة على برامج Bug Bounty التي تعمل على تحسين أمان البرامج
من الجيد معرفة كيفية عمل برامج bug bounty من الناحية النظرية ، ولكن دعونا نلقي نظرة على بعض الأمثلة الواقعية لشركات تدفع مبالغ ضخمة لقراصنة القبعات البيضاء.
بالتعاون مع منصة مكافأة الأخطاء Immunefi ، منصة جسر blockchain اللامركزية Wormhole أطلق في فبراير 2022 برنامج مكافأة يقدم 10 ملايين دولار لأي شخص يكتشف أمنًا مهمًا حشرة. بعد فترة وجيزة ، اكتشف قراصنة قبعة بيضاء يستخدم الاسم المستعار satya0x واحدًا. كما أوضح Immunefi في أ واسطة بعد ذلك ، كان من الممكن أن يؤدي الخطأ إلى قفل أموال المستخدمين ، لذلك تلقى satya0x 10 ملايين دولار للإفصاح عنه.
أيضا في فبراير 2022 ، تبادل العملات المشفرة كوين بيس دفع مكافأة قدرها 250000 دولار أمريكي إلى باحث مستقل لاكتشافه عيبًا كبيرًا في واجهة التداول الخاصة بالمنصة.
مختبرات أورورادفعت الشركة التي تقف وراء الجهاز الظاهري Aurora Ethereum (ETH) مكافأة ضخمة قدرها 6 ملايين دولار في أبريل 2022. تم منح الأموال إلى متسلل أخلاقي يعرف باسم pwning.eth ، بعد أن اكتشف ثغرة أمنية كان من شأنه أن يسمح للجهات الفاعلة في التهديد بسك إمدادات لا حصر لها من عملة الإيثيريوم المشفرة في Aurora محرك.
عملاق التجارة الإلكترونية الكندي Shopifyفي غضون ذلك ، حطمت الرقم القياسي الخاص بها في عام 2021 ، عندما بلغ إجمالي مدفوعات المكافآت مليون دولار. في ذلك العام ، تلقت الشركة ما مجموعه 3000 تقرير خطأ من قراصنة قبعة بيضاء حول العالم. رداً على ذلك ، قامت Shopify برفع الحد الأقصى لمكافأة المكافأة إلى 100000 دولار.
قد تبدو هذه الأرقام مرتفعة بشكل سخيف ، لكنها في الحقيقة لا تُقارن بحجم الأموال والبيانات التي يمكن لمجرمي الإنترنت تحقيقها من خلال اكتشاف نقاط الضعف. حددت Wormhole مكافأة مكافأة بقيمة 10 ملايين دولار فقط بعد أن خسرت 320 مليون دولار بسبب خرق. كافأت Aurora Labs أحد المتسللين ذوي القبعة البيضاء لأن 6 ملايين دولار تتضاءل مقارنة بخسارة 240 مليون دولار بقيمة ETH ، في حين أن Coinbase و Shopify ربما وفرا عشرات الملايين من خلال التعويض الدؤوب الباحثين.
أفضل 5 برامج مكافآت للأخطاء عالية الأجر
نظرًا لأن الشركات توفر بالفعل الكثير من المال من خلال إعداد برامج مكافآت للأخطاء ، فهناك مجموعة من الخيارات التي يمكن للباحثين الاختيار من بينها. إذا كنت من المتسللين ذوي القبعات البيضاء أو كنت ترغب في أن تصبح واحدًا ، فإليك خمسة برامج مكافآت للأخطاء عالية الأجر يجب وضعها في الاعتبار.
يعد برنامج Apple Security Bounty أحد أشهر برامج مكافآت الأخطاء البرمجية في العالم. تتراوح المكافآت من 5000 دولار لاكتشاف نقاط الضعف في شاشة القفل ، إلى 2 مليون دولار للثغرات الأمنية التي من شأنها أن تمكن الفاعل من تجاوز حماية وضع التأمين. كل ما عليك فعله لإرسال تقرير خطأ (والذي يجب أن يكون شاملاً ومفصلاً) هو تسجيل الدخول باستخدام معرف Apple الخاص بك.
يتم تشغيل برنامج مكافآت الأخطاء الشائعة الآخر بواسطة Microsoft ، والذي يقدم مجموعة واسعة من المكافآت. مثل برنامج Apple ، ينقسم برنامج Microsoft إلى عشرات الفئات المختلفة. على سبيل المثال ، إذا اكتشفت ثغرة أمنية في Microsoft. NET framework ، يمكنك توقع دفع ما يصل إلى 15000 دولار. ولكن إذا اكتشفت واحدًا في مايكروسوفت هايبر- V، قد تحصل على مكافأة تصل إلى 250000 دولار.
يتمحور برنامج مكافآت Samsung حول منتجات الشركة المحمولة. لديها سياسات صارمة نسبيًا ، لذا تأكد من قراءتها بعناية قبل إرسال الخطأ. لاحظ أيضًا أنه يتم أخذ الأخطاء التي تؤثر على أمان أجهزة Samsung فقط في الاعتبار من قبل مهندسي الشركة. تتراوح المكافآت بين 200 دولار و 200000 دولار.
في برنامج مكافأة Google Bug Hunters ، تصل المكافآت إلى 30 ألف دولار. يمكن لصائدي الأخطاء ، كما يُشار إلى قراصنة القبعات البيضاء في كثير من الأحيان ، الإبلاغ عن الأخطاء في Gmail و YouTube و BlogSpot وخدمات Google الأخرى. يحتوي هذا البرنامج على مجتمع نشط للغاية وجامعة خاصة به على الإنترنت ، والتي يمكن أن تكون مصدرًا رائعًا للباحثين المبتدئين.
يغطي برنامج Meta bounty Facebook و Instagram و WhatsApp و Messenger ومجموعة كبيرة من المنتجات الأخرى. لكي يتم أخذك في الاعتبار للحصول على مكافأة (الحد الأدنى هو 500 دولار) ، تحتاج إلى العثور على نقاط الضعف التي تشكل خطرًا على الأمان أو الخصوصية وتفي بمتطلبات محددة بوضوح. تتلقى جميع التقارير الصالحة استجابة. إذا اكتشف العديد من الصيادين نفس المشكلة ، فسيتم منح المكافأة لأول شخص يرسل تقريرًا.
برامج Bug Bounty: أفضل ما في أمن التعهيد الجماعي
تمثل برامج مكافآت الأخطاء أفضل ما في الأمن الجماعي. وليست شركات التكنولوجيا والباحثون في مجال الأمن السيبراني فقط هم من يستفيدون منها ، بل يستفيد منها الجميع ، بما في ذلك المستهلكين.
بالنسبة للبعض ، يعد صيد الأخطاء هواية ، وبالنسبة للآخرين ، فإن مهنة كاملة. إذا كنت تندرج في الفئة الأخيرة ، أو تطمح إلى ذلك ، فهناك الكثير من الدورات التدريبية عبر الإنترنت التي تستحق إلقاء نظرة عليها.
