Kriptogrāfijas uzņēmumi bieži uzzina, kā hakeri savas drošības sistēmas pārzina labāk nekā viņi. Tā kā uzlaušana kriptogrāfijas pasaulē var un bieži vien nozīmē nozagt simtiem miljonu dolāru vērtus žetonus, uzņēmuma nākotnes liktenis bieži var būt saistīts ar tā drošības pasākumiem. Cenšoties nocelt lūkas, uzņēmumi piedāvā bug bounties.
Šīs veltes būtībā ir sacensības, kurās hakeri tiek mudināti mēģināt kompromitēt programmatūru. Pēc tam hakeri attiecīgajiem uzņēmumiem iesniedz ievainojamības ziņojumu, lai tie varētu izlabot kļūdas pirms to izmantošanas. Kā atlīdzība veiksmīgiem hakeriem tiek maksāta prēmija.
Lielākā daļa uzņēmumu piedāvā bagātības pakāpeniski, atlīdzības cena atbilst kļūdas smagumam. Dāvanas sākas no aptuveni 50 līdz 100 ASV dolāriem par zemu līmeņu labojumiem, un kritisko kļūdu dēļ parasti tiek ierobežotas aptuveni 10 000 ASV dolāru apmērā. Dažos retos gadījumos hakeriem ir piešķirta lielāka balva.
Keitija Moussouris, Luta Security dibinātāja un izpilddirektore, kura laidusi klajā gan Microsoft, gan Pentagona pirmās kļūdas, Cointelegraph paskaidroja, kā kļūdu atalgojuma shēmas var būt noderīgas:
“Kļūdu bagātības ir visnoderīgākās un efektīvākās kā papildinājums proaktīvām drošības darbībām, kuru mērķis ir vispirms novērst un atklāt ievainojamību organizācijās. Kad organizācijas ir izveidojušas labu drošības praksi, kļūdu labumi var palīdzēt noteikt drošības kļūdas, kuras organizācijas palaida garām. Nepietiek tikai ar kukuļu dāvanām. ”
Lielākajai daļai uzņēmumu, kas izstrādā programmatūru, ir labumi ar kļūdām. Kripto pasaulē vajadzība pēc šādām programmām ir vienlīdz svarīga neatkarīgi no uzņēmuma lieluma. Saskaņā ar a Ziņot veica HackerOne, uzņēmumi 2018. gadā samaksāja 878 000 USD par kļūdām. Gvido Vrankens, holandiešu pētnieks, kurš saņemts 120 000 dolāru izmaksa no EOS pēc septiņu dienu laikā atklātu 12 kļūdu, pastāstīja Cointelegraph, ka kriptogrāfijas uzņēmumiem ir lielas likmes:
“Par globālo digitālo valūtu ir neapšaubāmi daudz vairāk nekā daudzos citos projektos vai vietnēs. Aktīvu zādzība ir viskonkrētākais piemērs, taču, pateicoties sinerģijai starp publicitāti un valūtas kursiem, tīrie zaudējumi var rasties arī plaši izplatītas neaizsargātības dēļ. “
Viens no jaunākajiem kļūdu labumiem nāk no globālās ziņojumapmaiņas lietotnes Telegram. Paziņots savā Telegram Contests kanālā 24. septembrī, uzņēmums aicina izstrādātājus izmantot TON blokķēdi un iesniegt ievainojamības ziņojumu.
Ja hakeri var izmantot kļūdu TON blokķēdē tiktāl, ciktāl viņi spēj nozagt līdzekļus no cita lietotāja maka, Telegram izmaksās līdz 200 000 USD, summu, kas atbilst Augura kritiskajai problēmai veltes kā viena no lielākajām atlīdzībām kriptogrāfijas vēsturē. Konkurss notiek uz ļoti gaidītā Telegram vietējā digitālā marķiera Gram palaišanas fona oktobra beigās..
EOS ieņem pirmo vietu
Lai gan ir vilinoši domāt, ka mazāki, jaunāki uzņēmumi var būt visaktīvākie, piedāvājot kļūdu labumus, Block.one, kompānija EOS, 2018. gadā ieņēma galveno vietu par atlīdzības atlīdzību ar 534 500 USD, tajā pašā gadā izmaksājot 60% no visām veltēm , saskaņā ar ziņojumu.
Saskaņā ar EOS profils vietnē HackerOne uzņēmums maksās maksimāli 1000 USD par zema riska pārskatu un ne vairāk kā 10 000 USD par kritisku ziņojumu. Profilā arī atzīmēts, ka galīgā summa vienmēr tiek izlemta pēc atlīdzības žūrijas ieskatiem, lielākas atlīdzības piešķirot ārkārtas ievainojamībām.
Pēc EOS veltes programmas uzsākšanas 2018. gada maijā Vranken paskaidroja kā uzņēmums pēc saviem atklājumiem ir pastiprinājis pieeju drošībai:
“Paziņotās kļūdas tika ātri analizētas un izlabotas to publiskajā repozitorijā. Sākumā process bija ļoti ad-hoc, jo mēs ar [EOS CTO] Danielu Larimeru sūtījām failus turp un atpakaļ uz Telegram, taču kopš tā laika viņi vietnē HackerOne sāka palaist kļūdu atlīdzības programmu, kas, manuprāt, ir visu interesēs. gan kļūdu meklētāji, gan EOS komanda. ”
EOS turpināja maksāt atlīdzību hakeriem 2019. gadā, dalot kļūdas par piecām kritiskām ievainojamībām līdz šim. 10. janvārī EOS ar HackerOne starpniecību pieciem balto cepuru hakeriem piešķīra kopumā 40 750 USD, bet cits pētnieks saņēma vēl 10 000 USD lielu prēmiju.
Coinbase ir otrs lielākais tēriņš
Viena no pasaules lielākajām kriptovalūtu biržām – Coinbase – ir otrā lielākā naudas atdeve, 2018. gadā kopumā piešķirot 290 381 ASV dolāru. Kopš 2017. gada vidus uzņēmums ir pieredzējis ievērojamu lietotāju skaita pieaugumu. kā rezultātā kavējas vai trūkst līdzekļu, kā arī tiek pārtraukta pakalpojumu darbība.
Uzņēmums 2019. gada februārī piešķīra vēl 30 000 ASV dolāru lielu atlīdzību par ziņošanu par kritisku kļūdu, saskaņā ar uz Coinbase ievainojamības atklāšanas programmu. Tajā laikā kļūda nopelnīja visu laiku lielāko atlīdzību platformā, lai gan informācija par kļūdu netika publiskota. Coinbase darbojas četru līmeņu atalgojuma programma, kurā tā maksās 200 USD par zema riska lietu, 2000 USD par vidēja līmeņa emisiju un līdz 50 000 USD par kritiskām kļūdām.
Saskaņā ar Coinbase HackerOne profilu, kritiskās ietekmes izmantošana ietver situāciju, kurā uzbrucēji “var lasīt vai pārveidot sensitīvus datus sistēmā, izpildīt sistēmā patvaļīgu kodu vai kaut kādā veidā izspiest digitālo vai fiat valūtu”.
Saistītie: Monero ziņojumi par viltotu XMR kalšanas kļūdu novēršanu mēnesi pēc labošanas
Uzņēmums arī izstrādāja vadlīnijas, lai novērtētu jautājumus ar zemu ietekmi: “Uzbrucēji var iegūt nelielu daudzumu neatļautas, zemas jutības informācijas, kas ietekmē lietotāju apakškopu, vai nedaudz ietekmēt sistēmas precizitāti un veiktspēju.”
Attiecībā uz ziņoto problēmu novēršanu uzņēmumam ir bijusi lēna ieviešana. Pēc tam, kad Nīderlandes uzņēmums atklāja viedo līgumu kļūmi, kas ļāva lietotājiem Ethereum (ETH) zagt “tik daudz, cik viņi vēlas”, tiek ziņots, ka Coinbase prasīja mēnesi, lai to novērstu. Coinbase izmaksāja 10 000 ASV dolāru lielu atlīdzību uzņēmumam, kurš atradis šo atklājumu.
Trons ierindojas trešajā vietā
Tron fonds, kas atrodas aiz TRX monētas, bija trešais lielākais tērētājs par kļūdām, jo 15 ziņojumiem kopā bija 78 800 USD. Pašlaik uzņēmums kopā ir samaksājis 85 400 ASV dolāru, no kuriem lielākais ir 10 000 ASV dolāru, un tas nonāca HackerOne lietotājam nu11pe par neizpaužamu ziņojumu.
Uzņēmuma atalgojuma programma maksās 100 USD par zema riska ievainojamību, 3000 USD par vidēja riska, 6000 USD par augsta riska un līdz 10 000 USD par kritiskām problēmām. Trona HackerOne profils apraksta kritiskas kļūdas kā “kļūdas, kas var pārņemt kontroli pār java-tron mezgliem, veicot jebkura koda attālo izpildi”, kā arī kļūdas, kas var izraisīt privātās atslēgas noplūdi.
Maijā uzņēmums atklāja kritisku ievainojamību, kas varēja pazemināt tās blokķēdi. Paziņojumā par HackerOne teikts, ka uzbrucējs varētu būt pārņēmis visu pieejamo atmiņu, lai gan izplatīts pakalpojumu atteikums jeb DDoS uzbrūk TRX tīklam, viedajā līgumā ieviešot ļaunprātīgu kodu..
Uzņēmums piebilda, ka viens cilvēks var veikt DDoS uzbrukumu, izmantojot vienu mašīnu, lai uzbruktu visiem vai 51% vecākā mezgla, tādējādi padarot tīklu neizmantojamu. Lai arī par kļūdu tika ziņots 14. janvārī, tā tika publiski paziņota tikai pēc tam, kad tā jau bija novērsta. Pētniekam, kurš atradās neaizsargātības dēļ, tika piešķirti 1500 ASV dolāri.
Bug bounties nav ideāla sistēma
Kaut arī kļūdu atalgojuma programmas nepārprotami rada veselīgu vidi, kurā uzņēmumi apbalvo ētiskus uzlaušanas gadījumus savās sistēmās, šī koncepcija nav bez kritiķiem. Pavisam nesen ievērojamais kripto skaitlis Dovejs Van kritizēja Telegram lēmumu atvērt tās viedā līguma attīstību. Vans parādījās kritizēt pasākums ir piemērs tam, ka uzņēmums nespēj atkārtoti ieguldīt programmatūras izstrādes procesos, sakot:
“Atvainojiet, bet projekts, kas savāca vairāk nekā miljardu, un vairāk nekā 500 mm lietotāji pat nevar pareizi izveidot saprātīgu bloku izpēti? Man jāšaubās, kāds ir šī TON tīkla prioritārais līmenis Telegram komandā un kā viņi izmantos savu mega dārgumu ar kriptogrāfiju saistītām lietām. ”
Luta Security izpilddirektore Keitija Moussouris sacīja Cointelegraph, ka, kaut arī kļūdu labumi ir efektīvi, lai norādītu uz svarīgām nepilnībām esošajās drošības struktūrās, tie neaizstāj īpašu drošības procesu.
“Uzņēmumi nevar izmantot kļūdu labumus kā lētu alternatīvu drošības pārbaudei. Vienkāršs lūgums svešiniekiem norādīt uz trūkumiem, nespējot tos novērst, ir viens no veidiem, kā pārmērīgi izmantot kļūdu bagātības var ātri pārņemt organizācijas. ”
Vrankens izklāstīja Cointelegraph viedokli, ka, pamatojoties uz viņa kā pētnieka pieredzi, kriptogrāfijas uzņēmums ar kļūdu atlīdzības programmu norāda, ka uzņēmumam var uzticēties:
“Es ātrāk uzticētos kriptonauda projektam, kurā ir izveidota pareizi funkcionējoša atalgojuma programma, nekā tam, kas to nedara. Šo nostāju veido mana kā pētnieka pieredze un apziņa, ka pat plaši izmantotu programmatūru ne vienmēr pakļauj nopietna tās koda pārbaude bez pienācīga stimula. ”
Vrankens turpināja piebilst, ka programmatūru izveidot bez kļūdām ir ārkārtīgi grūti, neatkarīgi no talanta līmeņa vai izvirzītās naudas summas:
“Ja nekas cits, kļūdu atalgojuma programma izveido oficiālu kanālu ziņošanai par kļūdām un norāda uz naidīgumu pret pētniekiem, solot novērtēt viņu darbu (izmantojot finansiālu kompensāciju).”
Pašreizējā kļūdu atalgojuma sistēma balstās uz hakeru atbildīgu rīcību vai nu morālas tieksmes, vai piedāvāto atlīdzību dēļ. Lai gan var šķist iespējams, ka hakeri varētu noturēt vairāk naudas, nekā reklamēts shēmā, vai pārdot detalizētu informāciju par trūkumiem konkurentiem, Moussouris teica, ka pieprasījums pēc šādas informācijas nav tik liels, kā daudzi to uztver:
“Nav nebeidzamu kļūdu pircēju, kas gaida, lai atpirktu katru kļūdu – tas ir izplatīts mīts. Tomēr kriptovalūtā, iespējams, ir vairāk kļūdu pircēju nekā citās jomās. Tas nozīmē, ka, ja kļūdu mednieki prioritāti piešķir peļņai, viņi var ļoti labi izvēlēties izmantot, nevis pārdot kriptovalūtā atrastās kļūdas, lai iegūtu tiešāku peļņu. ”
Lai gan gan kriptovalūtu, gan programmatūras kompāniju reklamētā atlīdzība visā pasaulē var radīt iespaidu, ka kļūdu atalgojuma medības var piedāvāt ienesīgu karjeru, realitāte ir tāda, ka konkurence ir liela un piekļuve nav vienmērīgi sadalīta. Moussouris Cointelegraph paskaidroja, ka tiem, kuri tiek uzaicināti uz privātiem kļūdām, bieži ir konkurences priekšrocības:
“Parasti tas ir daudz darba, kas netiek kompensēts, it īpaši, ja kļūdu veidi, kurus mednieks zina, ir samērā izplatītas kļūdu klases. Tikai pirmais, kurš ziņo par konkrētu ievainojamību, saņem atalgojumu, tāpēc visveiksmīgākie kļūdu atalgojuma mednieki mēdz būt tie, kuri tiek aicināti uz privātiem kļūdu labumiem, kuros ir mazāk konkurentu. ”
Vrankenam bug bounty medības ir jaukts maiss, jo atlīdzība ne vienmēr sakrīt ar projektā ieguldīto laiku:
“Salīdzinājumā ar līgumdarbu, kas iepriekš paredz piepūli un atlīdzību, kļūdu labumi var būt pacilāti (kad nonākat pie kļūdu ķekara, kas tiek dziļi atalgoti) vai nomākti (pavadot daudz laika kaut kam, nesasniedzot rezultātus vai saņemot zemāku cenu) nekā jūs gaidījāt). ”