برنامه باگ باونتی

یک برنامه باگ بانتی به دلیل گزارش باگ‌ها، به خصوص باگ‌هایی که باعث سو استفاده و آسیب پذیری می‌شوند، و اینکه در ازای گزارش این باگ‌ها افراد پاداش دریافت می‌کنند و یا به رسمیت شناخته می‌شوند، مورد توجه بسیاری از وب سایت‌ها و توسعه دهندگان نرم‌افزاری قرار گرفته‌است ^[۱].این برنامه‌ها به توسعه دهندگان اجازه می‌دهند که باگ‌ها را قبل از اینکه عموم مردم از آن‌ها مطلع شوند کشف کنند، و مانع از حوادثی چون سو استفاده گسترده شوند. برنامه‌های باگ بانتی توسط تعداد زیادی از سازمان‌ها،از جمله Mozilla^[۲]، Facebook، Yahoo^[۳]، Google^[۴]، Reddit^[۵]، Square^[۶] و Microsoft^[۷] اجرا شدند. شرکت‌های صنعتی که با تکنولوژی سر و کار چندانی ندارند، از جمله سازمان‌های محافظه کار سنتی مانند وزارت دفاع امریکا، استفاده از برنامه‌های باگ بانتی را آغاز کردند^[۸]. استفاده پنتاگون از برنامه‌های باگ بانتی بخشی از برنامه تغییر دولت است و چندین آژانس دولتی آمریکا از این برنامه استفاده می‌کنند، بر طبق این برنامه از هکرهای کلاه سفید (در زمینه امنیت کامپیوتری) دعوت می‌شود تا در افشای آسیب پذیری‌های امنیتی مشارکت کنند^[۹].

برنامه باگ باونتی

تاریخچه

Hunter & Ready اولین برنامه باگ بانتی را در سال 1983 برای سیستم عامل بلادرنگ چند منظوره معرفی کردند. هر کسی که یک باگ را پیدا می‌کرد و گزارش می‌داد یک فولکس واگن بیتل (aka Bug) به عنوان پاداش دریافت می‌کرد . کمی بیشتر از یک دهه قبل در سال 1995، Jarrett Ridlinghafer، یک مهندس پشتیبان فنی در شرکت ارتباطات Netscape عبارت 'Bugs Bounty' را بیان کرد.

Netscape کارمندان خود را تشویق کرد که همه تلاش خود را به کار گیرند و کاری که به آن‌ها سپرده شده‌است را انجام دهند. Ridlinghafer تشخیص داد که Netscape علاقه‌مندان و مبشرینی برای محصولات خود دارد، که به نظر می‌رسید که حتی برخی از آن‌ها نسبت به Mosaic/Netscape/Mozilla browser، تعصب داشتند. او پدیده را در جزییات بیشتری بررسی کرد و با بسیاری از علاقه‌مندان Netscape مواجه شد، بیشتر این علاقه‌مندان مهندسین نرم‌افزاری بودند که باگ‌های محصول را برطرف می‌کردند و اصلاحات و راه حل‌ها را به طریق زیر منتشر می‌کردند:

• در انجمن‌های خبری که توسط بخش پشتیبان فنی Netscape برای توانمندسازی "کمک از طریق همکاری" راه اندازی شده‌است (مورد دیگر ایده Ridlinghafer در طول دوره چهار ساله Netscape)، یا
• در وب سایت غیر رسمی "Netscape U-FAQ"، که هر کسی در آن باگ و ویژگی‌های مرورگر را می‌شناسد، و ابزارهای مرتبط با راه حل‌ها و برطرف کردن مشکل نیز در این وب سایت آورده شده‌است.

Ridlinghafer به این فکر کرد که کمپانی باید بر این منابع نفوذ کند و پیشنهادی را برای "برنامه باگ بانتی Netscape" نوشت، و به مدیران ارائه داد، و Ridlinghafer این پیشنهاد را در ملاقات بعدی تیم اجرایی بیان کرد.

در ملاقات بعدی تیم اجرایی، که James Barksdale, Marc Andreessen و سرپرست‌های هر بخش و از جمله مهندسین تولید در آن حضور داشتند، به هر عضو یک کپی از طرح "برنامه باگ بانتی Netscape" داده شد و Ridlinghafer به ارائه ایده تیم اجرایی Netscape تشویق شد.

هر کسی در این ملاقات این طرح را پذیرفت به جز سرپرست مهندسین، چرا که او معتقد بود نباید زمان و منابع را هدر داد. به هر حال، سرپرست مهندسین این ایده را رد کرد و Ridlinghafer یک بودجه $50k را به اجرای پیشنهاد تخصیص داد و اولین برنامه "باگ بانتی" در سال 1995 راه اندازی شد ^[۱۰][۱۱].

این برنامه یک موفقیت گسترده است که در بسیاری از موفقیت‌های Netscape نقش داشته‌است.

نقض سیاست افشای آسیب پذیری

در آگوست سال 2013، یک دانشجوی علوم کامپیوتر به نام Khalil در تایم لاین وب سایت فیس بوک که موسس آن مارک زوکربرگ بود، پستی ارسال کرد. بر طبق گفته هکرها او در این پست برای گزارش یک آسیب پذیری با استفاده از برنامه باگ بانتی فیس بوک تلاش کرد، اما به دلیل گزارش ناقص او، به او گفته شد که گزارش او در حقیقت یک باگ نیست ^[۱۲].

فیس بوک پژوهشگرانی را به این کار گمارد که باگ‌های امنیتی را پیدا کنند، و برای این پژوهشگران کارت‌های اعتباری به نام “White Hat” صادر کرد و هر بار که محققین نقض جدیدی را پیدا می‌کردند به اعتبار این کارت افزوده می‌شد. "محققینی که باگ‌ها را پیدا می‌کنند و امنیت را بهبود می‌بخشند نادر هستند، و ما آن‌ها را ارج می‌نهیم و باید راه‌هایی را برای پاداش دادن به ان‌ها پیدا کنیم". Ryan McGeehan، مدیر سابق تیم امنیتی فیس بوک، در مصاحبه خود با CNET گفت، "داشتن کارت مشکی انحصاری روش دیگری برای شناخت این پژوهشگران است. آن‌ها می‌توانند در کنفرانس کارت خود را نشان دهند و بگویند " من کار خاصی را برای فیس بوک انجام داده ام". ^[۱۳]. در سال 2014، فیس بوک صدور کارت اعتباری برای محققین را متوقف کرد.

در سال 2016، کمپانی ride sharing به نام Uber زمانی که فردی به اطلاعات شخصی 57 میلیون کاربر Uber در سراسر جهان دست یافت، یک حادثه امنیتی را تجربه کرد. این افراد ظاهراً مبلغ $100,000 در ازای نابودی داده کاربران طلب کردند. در کنگره، Uber CISO بیان کرد که کمپانی به دلیل نابودی داده‌ها متحمل $100,000 خسارت شد ^[۱۴]. آقای Flynn از اینکه Uber این حادثه را در سال 2016 افشا نکرد ابراز پشیمانی کرد. به عنوان بخشی از پاسخ آن‌ها به این حادثه، Uber با HackerOne برای به روز رسانی سیاست‌های برنامه باگ بانتی، برای توضیح بیشتر تحقیقات و افشای آُسیب پذیری کار کردند^[۱۵].

هند، که جز اولین یا دومین شکارچیان بزرگ باگ در جهان است، بسته به شهری که از آن گزارش می‌دهد ^[۱۶]، برنامه باگ بانتی فیس بوک را با تعداد بزرگتری باگ معتبر گزارش داد . " هند در راس تعداد ناشران معتبر در سال 2017 قرار گرفت، بعد از آن، ایالات متحده و Trinidad & Tobago دوم و سوم بودند"، و فیس بوک این مطلب را در پستی اعلام کرد. .

Yahoo! به شدت برای ارسال تیشرت‌های Yahoo! به عنوان پاداش به پژوهشگران امنیتی در ازای یافتن و گزارش آسیب پذیری‌های امنیتی در Yahoo! مورد انتقاد قرار گرفت، و جرقه چیزی به نام T-shirt-gate زده شد ^[۱۷]. High-Tech Bridge، یک Geneva، یک کمپانی تست امنیت سوئیسی نشریه‌ای را منتشر کرد که بیان میکرد که Yahoo! $12.50 اعتبار را برای هر آسیب پذیری پاداش می‌دهد، که این اعتبار می‌تواند برای خرید آیتم‌هایی با برند Yahoo مانند تیشرت، فنجان و خودکار از مغازه استفاده شود. Ramses Martinez، مدیر تیم امنیتی Yahoo' بعدها در پست وبلاگ خود ادعا کرد که او حامی برنامه پاداش کوپنی است، و اساساً هزینه این کار را از جیب خود پرداخت کرد. در نهایت، Yahoo! برنامه باگ بانتی جدید خود را در 31 اکتبر همان سال راه اندازی کرد، که به محققین امنیتی اجازه داد که باگ‌های خود را ارسال کنند و پاداشی بین $250 و $15,000، بسته به شدت باگ کشف شده دریافت کنند .

تفاوت باگ بانتی و هک

1. هدف و نیت : در باگ بانتی ، افراد و تیم ها با نیت خیر و با اجازه نهاد مربوطه به بررسی و تست امنیتی نرم افزار ها می پردازند و در قبال آن پاداش دریافت می کنند اما هکر ها به سیستم ها نفود می کنند و هدف آنها ، تخریب ، باج گیری و... است
2. مجوز : در باگ بانتی ، افراد با اجازه نهاد یا سازمان مربوطه اقدام به تست امنیتی نرم افزار ها می کنند اما هکر ها بدون اجازه به سیستم ها نفوذ می کنند.
3. پاداش : در باگ بانتی ، افراد پس از پیدا کردن آسیب پذیری در نرم افزار مربوطه ، از مالکین آن پاداش نقدی دریافت می کنند اما هکر ها معمولا هدف دارند و دریافت پاداش مشروط به نفوذ و تخریب نرم افزار مربوطه است .

برنامه‌های قابل توجه

در اکتبر سال 2013، گوگل تغییرات اصلی را در برنامه پاداش آسیب پذیری خود اعلام کرد. این یک برنامه باگ بانتی است که بسیاری از محصولات گوگل را پوشش می‌دهد. با تغییر، برنامه برای شامل شدن مجموعه ای از اپلیکیشن‌های نرم‌افزاری مستثنی از ریسک و کتابخانه‌ها بسط داده شد، که در درجه اول برای شبکه بندی یا برای عملکرد سیستم‌های سطح پایین طراحی شد. مقالاتی که گوگل با رهنمودهای آن موافق است مستلزم پاداشی از $500 تا $3133.70 بودند ^[۱۸]. در سال 2017، Google برنامه خود را برای پوشش آسیب پذیری‌هایی که در اپلیکیشن توسعه یافته توسط شخص ثالث یافته‌است بسط داد و آن را از طریق Google Play Store^[۱۹] در دسترس قرار داد.

به‌طور مشابه، Microsoft and Facebook در نوامبر سال 2013 برای حمایتگری مالی با هم همکاری کردند. باگ بانتی اینترنت، یک برنامه برای ارائه پاداش برای گزارش دهی هک‌ها است و از یک طیف وسیع نرم‌افزارهای مرتبط با اینترنت استفاده کرده‌است^[۲۰]. در سال 2017، بنیاد GitHub و Ford اسپانسر طرح‌ها بودند، که توسط داوطلبانی از Uber, Microsoft, Facebook, Adobe, and HackerOne مدیریت شدند^[۲۱]. نرم‌افزار تحت پوشش IBB شامل Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server و Phabricator هستند. علاوه بر این، برنامه پاداشی را برای استفاده گسترده‌تر از مواردی که به صورت گسترده از سیستم عامل‌ها و مرورگرهای وب و اینترنت در کل استفاده می‌کرد پیشنهاد داد ^[۲۲].

در مارس سال 2016، Peter Cook اولین برنامه باگ بانتی دولت فدرال، به نام برنامه "Hack the Pentagon" را معرفی کرد ^[۲۳]. برنامه از 18 آوریل تا 12 می اجرا شد و بیش از 1400 نفر 138 گزارش منحصر را از طریق HackerOne ارسال کردند. در مجموع؛ وزارت دفاع آمریکا $71,200 پرداخت کرد ^[۲۴]. در ژانویه، وزیر دفاع، Ash Carter با دو شرکت کننده، David Dworken و Craig Arendt ملاقات کرد، و به آن‌ها افتخار شرکت در برنامه را داد.^[۲۵]

Open Bug Bounty یک برنامه باگ بانتی امنیت جمعیت است که در سال 2014 ایجاد شده‌است که به افراد اجازه می‌دهد که آسیب پذیری‌های امنیتی وب سایت را به امید پاداش گرفتن از اپراتورهای وب سایت مربوطه، ارسال کنند.

پیوند به بیرون

• [۱] برنامه باگ بانتی AT&T
• [۲] برنامه باگ بانتی Facebook
• [۳] لیست باگ بانتی‌های اینترنت

منابع

1. "Bug Bounty - Hacker Powered Security Testing | HackerOne". HackerOne (به انگلیسی). Retrieved 2018-07-02.
2. "Mozilla Revamps Bug Bounty Program | SecurityWeek.Com". www.securityweek.com (به انگلیسی). Retrieved 2018-07-02.
3. "Vulnerability disclosure for Yahoo!". HackerOne (به انگلیسی). Retrieved 2018-07-02.
4. "Program Rules – Application Security – Google". www.google.com (به انگلیسی). Retrieved 2018-07-02.
5. «whitehat - reddit.com». www.reddit.com. دریافت‌شده در ۲۰۱۸-۰۷-۰۲.
6. "HackerOne". HackerOne (به انگلیسی). Retrieved 2018-07-02.
7. «Microsoft Announces Windows Bug Bounty Program and Extension of Hyper-V Bounty Program» (به انگلیسی). xda-developers. ۲۰۱۷-۰۷-۲۶. دریافت‌شده در ۲۰۱۸-۰۷-۰۲.
8. «The Pentagon Opened Up to Hackers—And Fixed Thousands of Bugs» (به انگلیسی). WIRED. دریافت‌شده در ۲۰۱۸-۰۷-۰۲.
9. "Computer Crime and Intellectual Property Section (CCIPS) | Department of Justice". www.justice.gov (به انگلیسی). Retrieved 2018-07-02.
10. «Press Release». ۱۹۹۷-۰۵-۰۱. بایگانی‌شده از اصلی در ۱ مه ۱۹۹۷. دریافت‌شده در ۲۰۱۸-۰۷-۰۲.
11. Richey, Erin. "CenturyLinkVoice: Why Companies Like Pinterest Run Bug Bounty Programs Through The Cloud" (به انگلیسی). Retrieved 2018-07-02.
12. «Hacker posts Facebook bug report on Zuckerberg's wall» (به انگلیسی). RT International. دریافت‌شده در ۲۰۱۸-۰۷-۰۲.
13. "Facebook hands out White Hat debit cards to hackers" (به انگلیسی). 2011-12-31. Retrieved 2018-07-02.
14. "U.S. Senate Committee On Commerce, Science, & Transportation" (به انگلیسی). Retrieved 2018-07-02.
15. «Uber Tightens Bug Bounty Extortion Policies» (به انگلیسی). Threatpost | The first stop for security news. دریافت‌شده در ۲۰۱۸-۰۷-۰۲.
16. «Bug hunters aplenty but respect scarce for white hat hackers in India | FactorDaily» (به انگلیسی). FactorDaily. 2018-02-08. بایگانی‌شده از اصلی در ۲۲ اكتبر ۲۰۱۹. دریافت‌شده در 2018-07-02. تاریخ وارد شده در |archive-date= را بررسی کنید (کمک)
17. Osborne, Charlie. "Yahoo changes bug bounty policy following 't-shirt gate' | ZDNet" (به انگلیسی). Retrieved 2018-07-02.
18. «Google offers "leet" cash prizes for updates to Linux and other OS software» (به انگلیسی). Ars Technica. دریافت‌شده در ۲۰۱۸-۰۷-۰۲.
19. «Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play». The Verge. دریافت‌شده در ۲۰۱۸-۰۷-۰۲.
20. «Now there's a bug bounty program for the whole Internet» (به انگلیسی). Ars Technica. دریافت‌شده در ۲۰۱۸-۰۷-۰۲.
21. «Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure» (به انگلیسی). VentureBeat. ۲۰۱۷-۰۷-۲۱. دریافت‌شده در ۲۰۱۸-۰۷-۰۲.
22. "Open Source Bug Bounty Programs | HackerOne". HackerOne (به انگلیسی). Retrieved 2018-07-02.
23. «United States Department of Defense». www.defense.gov (به انگلیسی). دریافت‌شده در ۲۰۱۸-۰۷-۰۲.
24. "Government - Hack The Pentagon - Hacker Powered Security Testing | HackerOne". HackerOne (به انگلیسی). Retrieved 2018-07-02.
25. «18-year-old hacker honored at Pentagon». Stars and Stripes. دریافت‌شده در ۲۰۱۸-۰۷-۰۲.

• باگ بانتی چیست ، آکادمی بلوهاست
• دانشنامه فارسی باگ بانتی

جستار های وابسته

• شکارچی جایزه‌بگیر