Video: What Happens at an MIT Hackathon (Marraskuu 2024)
Mitä saat, kun laitat jotkut hakkerit huoneeseen ja annat heille luettelon kohdesivustoista? He käyvät vikametsästyksessä!
Näin tapahtui Bug Bash 2013 -tapahtumassa, joka on "Internet-laajuinen hakkerointi", jota Bugcrowd hallinnoi AppSec USA -konferenssissa New Yorkissa aiemmin tällä viikolla. Noin 80 ihmistä osallistui kolmen illan aikana ja "satoja" osallistui etäyhteyden kautta Internetiin, Bugcrowdin perustaja ja toimitusjohtaja Casey John Ellis kertoi. Osallistujat lähettivät havaitsemansa virheet Bugcrowdiin, ja joukkue toisti virheen johtaneet ehdot vahvistaakseen ongelman.
Kohdeluetteloon sisältyivät yritykset, kuten Facebook, Google, Etsy, Prezi ja Yandex. Osallistuvat turvallisuustestaajat havaitsivat yli 220 vikaa, Ellis kertoi. Suurimmaksi osaksi kysymykset koskivat arkipäivää monimuotoisuutta, mukaan lukien joitain injektio- ja ohitushaavoittuvuuksia.
"En ole vielä kuullut eksoottisista haavoittuvuuksista, mutta analysoimme edelleen tietojamme", Ellis sanoi.
Bugcrowd aikoo myöhemmin julkaista lisätietoja paljastuneiden virheiden tyypistä ja tapahtumasta. San Franciscossa toimiva käynnistysohjelma johtaa ohjelmia, joissa ihmisryhmät työskentelevät yhdessä löytääkseen virheitä verkkosivustoista ja sovelluksista. Kun se vahvistaa, että ilmoitetut virheet ovat laillisia, se hoitaa ilmoitus asianmukaisille toimittajille.
Vikapalkkioita
Vikapohjaiset ohjelmat ovat yhä suositumpia, koska yritykset rohkaisevat tutkijoita lähettämään virheraportteja suoraan heille sen sijaan, että myydään niitä hallitukselle tai tarjotaan välittäjille. Ilmoittamatta virheestä myyjälle tarkoittaa, että ostaja voi käyttää näitä haavoittuvuuksia omaan tarkoitukseensa ja jättää käyttäjät suojamatta kyseisestä ohjelmistovirheestä.
Mozillalla ja Googlella on todennäköisesti tunnetuimmat vikaruton ohjelmat, mutta monet muut yritykset tarjoavat nyt jonkinlaista ohjelmaa (pitkä, mutta ei täydellinen luettelo on täällä). Facebook ilmoitti elokuussa maksaneensa miljoonan dollarin erät kahden viime vuoden aikana.
Kaikki virheet eivät kelpaa näihin ohjelmiin. Esimerkiksi Facebook tekee selväksi, että heidän ohjelmansa kattaa vain asiat, jotka voivat "vaarantaa Facebookin käyttäjätietojen eheyden, kiertää Facebookin käyttäjätietojen yksityisyyden suojaa tai mahdollistaa pääsyn järjestelmään Facebookin infrastruktuurin sisällä". Microsoft julkaisi äskettäin sarjan palkintoja ja oli erityisen tarkkaan etsimiensä kysymysten suhteen.
Bug Bash 2013
Tässä vaiheessa on vaikea arvioida, kuinka paljon osana Bug Bash paljastuneita virheitä on yhteensä arvoinen, koska virhepohjaiset ohjelmat vaihtelevat niin suuresti, kuinka paljon he maksavat. Jotkut ohjelmat maksavat useita satoja dollareita ja toiset maksavat useita tuhansia dollareita. On myös tärkeää huomata, että jokaisella yrityksellä on erityiset säännöt siitä, mitä ne tunnistavat virheeksi ja millaisia ongelmia vikapalkkio-ohjelma kattaa.
Vaikka 220 virhettä on lähetetty, myyjän on päätettävä, onko ongelmat maksettava. Ja vaikka voittoa olisi, myös myyjän on päätettävä summasta. Vaikka jokainen yli 200 virheestä on vain muutaman sadan dollarin arvoinen, se ei ole huono muutaman tunnin työhön kolmen päivän aikana.
Facebook-edustajat olivat jopa valmiina tapahtumien aikana antamaan oivalluksia vikarutto-ohjelmiinsa ja vastaamaan osallistujien kysymyksiin.
Ihmiset, jotka olivat käyneet koulutustilaisuuksissa oppia erilaisia tekniikoita, pysähtyivät osallistumaan ryhmähakkeihin, kertoi Tom Brennan, OWASP-säätiön hallituksen jäsen ja yksi AppSec USA: n järjestäjistä. Ihmiset tekivät yhteistyötä työskennellessään kohteiden parissa ja pyytäessä apua toisiltaan. Virheiden löytäminen ei ole automatisoitua prosessia, koska se todella vaatii ihmisiä ajattelemaan näkemäänsä ja säätämään tekniikkaansa vastaavasti. Yhteistyöympäristö, jossa ihmiset voivat pomppia ideoita toisistaan, voi olla "erittäin tehokas" vikametsästyksessä, Brennan sanoi.