Bug bounty
Bug bounty (בעברית: צייד באגים או צייד תקלים[1]) היא תוכנית, במסגרתה מציעים חברות תוכנה, ארגונים, מדינות ובעלי עסקים, תמריצים כספיים למוצאי באגים, פרצות אבטחה ואקספלויטים בשירותים אותם הם מציעים. מטרת התכנית היא:
- לתת מוטיבציה לחוקרי אבטחה לחקור את האתרים והשירותים של החברות, לדווח על הבאגים לפני פרסומם לציבור ובכך למנוע שימוש וניצול לרעה של הפרצה.
- לגרום לכך שגם האקרים בעלי כובע שחור אשר ימצאו פרצה, לא יפיצו אותה לציבור הרחב, אלא ידווחו עליה לחברה, בעקבות העובדה שהם צפויים לקבל תמריץ על-כך.
היסטוריה
[עריכת קוד מקור | עריכה]רעיון ה-Bug bounty הוצע לראשונה בשנת 1983 על ידי חברת Hunter & Ready אשר הודיעה כי תעניק חיפושית מתוצרת פולקסווגן לכל מי שימצא באג במערכת ההפעלה בזמן אמת שלה - VRTX. כעשור לאחר מכן, בשנת 1995, פותחה תוכנית דומה בחברת נטסקייפ אשר פיתחה את הדפדפן המסחרי הראשון. ג'רט רידלינגאפר, מהנדס תוכנה בחברה, הוביל את המהלך להקמת התכנית, לאחר שזיהה כי ישנה קהילה של משתמשי הדפדפן, אשר מפרסמת מיוזמתה תיקונים לבאגים בדפדפן ודרכים לעקיפתם. רידלינגפר חשב שהחברה צריכה למנף ולהרחיב את תחביב מציאת הבאגים על ידי הגולשים ובאישור הנהלת החברה קיבל תקציב התחלתי של 50 מיליון דולר. כך נפתחה התוכנית הראשונה בהיסטוריה של Bug bounty לדפדפנים [2].
תוכניות Bug bounty בולטות
[עריכת קוד מקור | עריכה]בעשור השני של המאה ה-21 תפס רעיון ה-Bug bounty תאוצה גדולה ורבות מתוך חברות הטכנולוגיה המובילות בעולם משתמשות בו.
בשנת 2013 הודיעה חברת גוגל כי תרחיב את שירות ה-Bug bounty שלה, שעד-אז עסק במציאות באגים ופרצות אבטחה בשירותים הבולטים של החברה בלבד, וכי החל מ-2013 התכנית תורחב, כך שהיא תכלול אף מבחר של אפליקציות גוגל אשר השפעתם נמוכה ביחס לליבת מערכת ההפעלה. ב-2019 הרחיבה גוגל את התכנית עוד-יותר והציעה תמריצים אף למוצאי באגים ופרצות אבטחה במרבית האפליקציות הניתנות להורדה בחנות Google Play[3]. התשלום שמציעה גוגל למוצאי הפרצות נע בין 500 ל-50,000 דולר בהתאם לחומרת הבאג.
ב-2016 הודיעה אפל על פתיחת תוכנית Bug bounty משלה, אך הגבילה את ההשתתפות בה לחוקרי אבטחה מסוימים בלבד. באוגוסט 2019 הודיעה החברה על פתיחת התכנית לציבור הרחב[4] וכי סכום הפרסים אשר יחולקו למוצאי הבאגים ינוע בין 25,000$ ל-1,000,000$.
גם ל-Microsoft תוכנית Bug bounty משלה, בה סכום הפרסים נע בין 15,000 ל-300,000 דולר. בין 1 ביולי 2018 ל-1 בינואר 2019 שילמה Microsoft תמלוגים לחוקרי אבטחה, בסך כולל של 4.4 מיליון דולר[5].
חברת פייסבוק שילמה תמלוגים בסך[6] של 2.2 מיליון דולר במהלך שנת 2019 בעבור Bug Bounty שלה.
בנובמבר 2013 הודיעו[7] אפל ומיקרוסופט על נתינת חסות ל-Internet Bug Bounty - תוכנית Bug bounty שתנוהל על ידי מתנדבים ותחלק תמריצים על מציאת באגים בתוכנות ושפות תכנות שונות אשר מופצות בקוד פתוח, כגון Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl ,OpenSSL, Nginx, Apache HTTP Server, Phabricator ועוד רבים. החל מ-2017 גם החברות HackerOne, GitHub ו-FORD להימנות עם נותני החסות לתוכנית. בדצמבר 2018 הודיע האיחוד האירופאי על פתיחת תוכנית Bug bounty, במסגרתה יתוגמלו מוצאי פרצות אבטחה בפלטפורמות הקוד הפתוח הפופולריות בעולם, בסכומים של עד 71 אלף אירו[8].
במרץ 2016 הכריז משרד ההגנה האמריקני על תוכנית ה-Bug bounty הראשונה של הממשל - Hack the Pentagon. התכנית פעלה לזמן מוגדר, בין 18 באפריל ל-12 במאי 2016 וסכום הפרסים הכולל שחולק בה עמד על[9] כ-71,200 דולר.
ראו גם
[עריכת קוד מקור | עריכה]קישורים חיצוניים
[עריכת קוד מקור | עריכה]- אמיתי זיו, הציידים שבמרתף: האנשים שתוקפים חברות ומקבלים על זה כסף, 20.5.16, TheMarker
- שחר סמוחה, באונטי האקר, 30.10.14, גלובס
- אתר שמאפשר גילוי חולשות בתשלום - hackerone.com
הערות שוליים
[עריכת קוד מקור | עריכה]- ^ ארנון ארז, חלופה עברית למילה bug בתחום המחשבים, באתר האקדמיה ללשון העברית, 2015-05-20
- ^ Press Release, web.archive.org, 1997-05-01
- ^ גוגל תשלם לכם עכשיו גם אם תמצאו באגים באפליקציות שהן לא שלה, באתר גיקטיים, 2019-09-02
- ^ אפל: מצאתם באג במוצרים שלנו? תקבלו הרבה כסף, באתר גיקטיים, 2019-12-22
- ^ MSRC Team, Introducing the ElectionGuard Bounty program, Microsoft Security Response Center, 2019-10-18 (באנגלית)
- ^ Facebook Paid $2.2 Million in Bug Bounty Rewards in 2019 | SecurityWeek.Com, www.securityweek.com
- ^ Dan Goodin, Now there’s a bug bounty program for the whole Internet, Ars Technica, 2013-11-06 (באנגלית)
- ^ מצאתם באג אבטחה בקוד פתוח? קבלו עשרות אלפי אירו מהאיחוד האירופאי, באתר גיקטיים, 2018-12-31
- ^ Hack The Pentagon | Black Hat Security Testing, HackerOne (באנגלית)