Herkese merhaba ve günlük ZDNet editoryal podcast’i ZD Tech’e hoş geldiniz. Benim ismim Louis Adam ve bugün size bug bounty programlarının ne olduğunu açıklayacağım ve şirketler neden kendilerini hacklemeyi başaranlara çok büyük meblağlar ödemeye razılar?.
Çoğu durumda, bir işletmeyi hacklemek başınızı belaya sokabilir. Onun lütfuna sahip olmadıkça!
Hata ödülü nedir?
Bu, aşağı yukarı Fransızca’da “hata ödülü” programlarının, “hata prime” ilkesidir. Bu programların amacı, şirkete hataları veya güvenlik açıklarını bildiren şirket dışındaki güvenlik araştırmacılarını ödüllendirmek ve böylece bunları düzeltmesine izin vermektir.
Başlangıçta, hata ödülü güvenlik araştırmacıları ve şirketlerinin karşılaştığı bir sorunu çözmeyi amaçlar: bir araştırmacı yazılımda, örneğin Windows gibi bir işletim sisteminde bir güvenlik açığı keşfettiğinde, yapılacak doğru şey bunu Microsoft’a iletmek olacaktır. bunu düzelt.
Süreci basitleştirin
Ama bu açık değil. Her şeyden önce, iletişim kuracağınız doğru kişiyi bulmalısınız. Ardından, güvenlik açığının kapsamını tam olarak anladığından emin olun. Ardından, şirketin düzeltici, tercihen etkili bir çözüm üretmesini ve bunu müşterilerine yaymasını beklemeniz gerekir. Ve onların sorunları için, keşfin arkasındaki araştırmacılar, söz konusu şirketle müzakere edilmesi gereken bir ödülü hak ettiklerini düşünebilirler.
Ancak her gün ve her tür üründe güvenlik açıkları keşfediyoruz!
Bu nedenle, bazen can sıkıcı olan bu süreci basitleştirmek için, böcek ödülü uygulaması 2010’ların başında demokratikleşmeye başladı. HackerOne veya Fransa’daki YesWeHack gibi şirketler bu konuda uzmanlaşmıştır ve şirketlere onlara bu tür “anahtar teslimi” bir program sunmalarını önermektedir.
Şirketler için böcek ödülü sahibi olmanın önemli avantajları vardır: örneğin, kapsanan programları ve hizmetleri ve araştırmacılara ödenecek tutarları tam olarak tanımlayabilirler. Her şeyden önce bu, bir yama geliştirilirken güvenlik açığının gizli kalmasını sağlamalarına olanak tanır.
Araştırmacılar için bu, iletişim kurmayı ve ödül almayı kolaylaştırarak, bu adımlara daha az zaman harcamalarına ve güvenlik açıklarını bulmaya odaklanmalarına olanak tanır.
Bu ilk adımdır, ancak her derde deva değildir: şirketler belirli hataları veya belirli ürünleri diğerlerine tercih edebilir, bu da programları az ya da çok çekici kılar. Ayrıca bir yama bulmak için ayaklarını sürüyebilir veya bir araştırmacıya minimum fiyat ödeyebilirler.
Ancak bu tür bir boşluk için rekabet sert. Böylece Apple, iOS mobil işletim sistemindeki büyük bir güvenlik açığı için 1 milyon dolara kadar ödeme yapacak. Ancak sıfır gün boşlukları çifte vaat ediyor …