Son on yılda, bilgisayar korsanlığı, böcek ödüllerinin getirilmesi sayesinde kademeli olarak saygın ve potansiyel olarak ödüllendirici bir kariyer haline geldi..
Mozilla gibi bazı kuruluşlar 2004’te hata ödülleri başlatırken, Google ve Facebook’un sırasıyla 2010 ve 2011’de benzer programları yayınlaması sektöre büyük bir ivme kazandırdı. Kısa süre sonra, 2011 ve 2012’de Bugcrowd ve HackerOne gibi platformlar, diğer şirketlerin bunları kurmasını kolaylaştırmak için hata ödüllerini ticarileştirdi..
Bir hata ödülü, sistem veya kullanıcıları üzerinde güvenlik etkisi olabilecek güvenlik açıklarını bulan ve bildiren bağımsız araştırmacılara ödeme yapar. En yaygın güvenlik açıklarından biri, bir kullanıcının tarayıcısına kötü amaçlı JavaScript kodu enjekte eden Siteler Arası Komut Dosyası (XSS) saldırısıdır..
JavaScript’in bugün web’e nüfuz etme biçimi nedeniyle, bu saldırı esasen bir kurbanın hesabını ele geçirmek için kullanılabilir ve Google, bu kategori böcekler.
Hata ödülleri neden faydalıdır??
Güvenlik denetimleri ve kod incelemeleri hem zaman açısından hem de inceleme sağlayan göz sayısı açısından sınırlıdır. Yazılımı halka yayınlamadan önce en az asılı meyveyi seçmek faydalı olsa da, en ciddi hatalardan bazıları birçok ince tasarım başarısızlığının bileşiminden kaynaklanabilir..
Bunun yeni bir örneği olarak, bağımsız bir araştırmacı, önceki birçok denetime rağmen ProgPoW algoritmasında büyük bir hata buldu..
Merkezi olmayan finans veya DeFi’deki son saldırılar, bu sistemlerin karmaşıklığını gözler önüne seriyor. İlk bZX hack’inde, istismarın özü, bZX akıllı sözleşmelerinde uygun teminatlandırmanın kontrol edilmesindeki ince bir başarısızlıktı – ancak flash krediler ve diğer platformlar, bu hatadan para çıkarmak için gerekli araçları sağladı..
Google’ın programı, hareket halindeyken güvenli kod yayınlamanın neredeyse imkansız olduğunu kolayca gösteriyor. Güvenlik açığı ödül programı gönderildi lansmandan dokuz yıl sonra 2019’da 6 milyon dolarlık benzeri görülmemiş bir ödeme rekoru. Bu süre zarfında şirket, iç güvenlik uygulamalarını mükemmelleştirmek için tüm araçlara sahipti, ancak sistemlerinin karmaşıklığı, bunu neredeyse imkansız hale getirmiş gibi görünüyor..
Kriptoda hata ödülleri
Kriptodaki birçok şirket ve proje, kritik hatalar için cömert ödüller sunacak. DeFi projeleri Maker, Compound ve Aave’nin sırasıyla maksimum 100.000 $, 150.000 $ ve 250.000 $ ‘ı vardır..
Kraken, Coinbase ve Binance gibi büyük borsalar da hata ödül programları sunuyor. Kraken’in açık bir maksimum değeri yokken, Coinbase ve Binance sırasıyla 50.000 $ ve 10.000 $ ‘a yükseldi. Tüm büyük borsalar bu tür programları başlatmadı – özellikle Huobi ve Bitstamp.
Reklamı yapılan bir maksimum ödemenin, ödenen meblağlar neredeyse her zaman şirketin takdirine bağlı olduğu için programı daha çekici hale getirmediğini belirtmek gerekir..
458 rapordan gönderilen Coinbase’e göre, maksimum ödeme sadece 20.000 $ iken, ortalama sadece 200 $ ‘dır. Bunun nedeni muhtemelen hataların düşük şiddeti, ancak bu istatistikler platforma odaklanmaya karar vermesi gereken araştırmacılar için önemli sinyallerdir. Hacker One’daki en yüksek ortalama ödemelerden bazıları Monolith, Tron (TRX) ve Matic’ten elde edilebilir, ancak ikincisi hata ödül programını yeni başlattı..
Projeleri kaydetmek için ödülleri bozabilir?
Kripto altyapısı, bir bankadan dijital para çalmak çok fazla olduğu için, nakit benzeri özellikleri nedeniyle bilgisayar korsanları için ideal bir hedef teşkil ediyor. Daha güçlü.
500 milyon dolarlık bir hacklemenin faillerinin iki yıldan fazla bir süre sonra yakalanmadığı Coincheck gibi “başarı” hikayelerini hacklemek, “siyah şapka” ya da tamamen kötü niyetli bilgisayar korsanlarını diğer sektörlerden daha fazla çekebilir..
Döviz teminatı sıralamasına göre yayınlanan Hacken tarafından 2019’da, tüm borsaların% 82’sinde herhangi bir hata ödül programı yok. Listesinde üst sıralarda yer alanlardan sadece Binance, 2019’da büyük bir saldırıya uğradı..
Merakla, hem bZX hem de dForce, olaylarından önce hata ödül programlarına sahipti – ancak dikkate değer uyarıları vardı.
bZX’ler program sadece 5.000 $ ‘lık maksimum ödeme vardı ve araştırmacıların ödülü almadan önce bir kimlik kanıtı sunmalarını şart koşuyordu. Ayrıca, yalnızca bir Medium gönderisinde yayınlandığı görülüyor. Olayı takiben proje düzeltilmiş yukarıda belirtilen tüm konular.
DForce’lar program aynı şekilde belgeleri göndermek zorunluydu ve maksimum ödeme 50.000 $ olarak önemliyken, yalnızca USDx stabilcoin sistemini kapsıyordu – hacklenen Lendf.me platformunu değil..
Şirketler yaptırım uygulanan bölgelerde yaşayan araştırmacılara ödeme yapmak zorunda kalmazken, çok az sayıda başarılı program para almak için tam bir kimlik kontrolü gerektirir. Bir böcek avcısı perspektifinden, kimlik belgelerini göndermek, sık sık meydana gelen bir Damocles Kılıcı haline gelebilir. yasal misillemeler tamamen meşru bilgisayar korsanlarına karşı – bu da onları başvurmaktan caydırıyor.
Yukarıdakilerin tümü göz önüne alındığında, adil bir hata ödül programının varlığı ile felaketle sonuçlanan hack olaylarının görülme sıklığı arasında önemli bir korelasyon olduğu görülmektedir..
Yine de, saygın bir güvenlik araştırmacısı olan Egor Homakov, Cointelegraph ile yaptığı bir sohbette, “utanç verici” projelere karşı uyardı:
“Ödüller hiçbir projeye zorlanmamalı ve faiz içeriden gelmeli. Her proje zaten varsayılan olarak bir ödül programı ile birlikte gelir, sadece ikramiyeler 0 $ ‘a eşittir. İnsanların programları daha yüksek miktarlarda utandırması gerektiğini düşünmüyorum. Bu pazar mükemmel bir şekilde kendi kendini düzenler ve daha fazla araştırma öfkesine / taleplerine ihtiyaç duymaz. “
Saldırıya uğrayan bazı şirketlerin olay tepkilerine bakıldığında, daha iyi hata ödüllerine doğru doğal seçilim zaten gerçekleşiyor olabilir.