Video: Facebook Hackathon (Tháng Chín 2024)
Bạn nhận được gì khi đặt một số tin tặc vào một căn phòng và đưa cho chúng một danh sách các trang web mục tiêu? Họ đi săn bọ!
Đó là những gì đã xảy ra tại Bug Bash 2013, một "hack-a-thon trên internet" do Bugcrowd điều hành tại hội nghị AppSec USA ở New York đầu tuần này. Khoảng 80 người đã tham gia trong suốt ba buổi tối và "hàng trăm" đã tham gia từ xa qua Internet, Casey John Ellis, người sáng lập và CEO của Bugcrowd cho biết. Những người tham gia đã gửi các lỗi mà họ đã xác định đến Bugcrowd và nhóm đã nhân rộng các điều kiện dẫn đến lỗi để xác nhận sự cố.
Danh sách các mục tiêu bao gồm các công ty như Facebook, Google, Etsy, Prezi và Yandex. Những người kiểm tra an ninh đã tham gia xác định hơn 220 lỗi, Ellis nói. Đối với hầu hết các phần, các vấn đề thuộc về sự đa dạng thông thường, bao gồm một số lỗ hổng tiêm và bỏ qua.
"Tôi chưa nghe về bất kỳ lỗ hổng kỳ lạ nào, nhưng chúng tôi vẫn đang phân tích dữ liệu của chúng tôi", Ellis nói.
Bugcrowd có kế hoạch phát hành thêm chi tiết về loại lỗi được phát hiện và thông tin về sự kiện này vào một ngày sau đó. Công ty khởi nghiệp có trụ sở tại San Francisco này điều hành các chương trình nơi các nhóm người làm việc cùng nhau để tìm lỗi trong trang web và ứng dụng. Khi nó xác nhận rằng các lỗi được báo cáo là hợp pháp, nó sẽ xử lý quá trình thông báo cho các nhà cung cấp phù hợp.
Tiền thưởng lỗi
Các chương trình tiền thưởng lỗi đang ngày càng trở nên phổ biến, vì các công ty khuyến khích các nhà nghiên cứu gửi báo cáo lỗi cho họ trực tiếp, thay vì bán chúng cho chính phủ hoặc cung cấp cho họ để khai thác các nhà môi giới. Không báo cáo lỗi cho nhà cung cấp có nghĩa là người mua có thể sử dụng các lỗ hổng này cho mục đích riêng của họ và khiến người dùng không được bảo vệ khỏi lỗ hổng phần mềm đó.
Mozilla và Google có thể có các chương trình tiền thưởng lỗi được biết đến nhiều nhất, nhưng nhiều công ty khác hiện cung cấp một loại chương trình nào đó (một danh sách dài, nhưng không đầy đủ, có ở đây). Facebook đã công bố vào tháng 8 rằng họ đã trả một triệu đô la tiền thưởng trong hai năm qua.
Không phải tất cả các lỗi đủ điều kiện cho các chương trình này. Ví dụ: Facebook làm rõ chương trình của họ chỉ đề cập đến các vấn đề có thể "có thể làm tổn hại đến tính toàn vẹn của dữ liệu người dùng Facebook, phá vỡ sự bảo vệ quyền riêng tư của dữ liệu người dùng Facebook hoặc cho phép truy cập vào hệ thống trong cơ sở hạ tầng của Facebook". Microsoft đã đưa ra một loạt giải thưởng gần đây và rất cụ thể trong các loại vấn đề mà nó đang tìm kiếm.
Lỗi Bash 2013
Tại thời điểm này, thật khó để ước tính số lượng lỗi được phát hiện là một phần của Bug Bash có giá trị tổng cộng, vì các chương trình tiền thưởng lỗi rất khác nhau về số tiền họ phải trả. Một số chương trình trả vài trăm đô la và những chương trình khác trả vài nghìn đô la. Cũng cần lưu ý rằng mỗi công ty có các quy tắc cụ thể về những gì họ nhận ra là lỗi và loại vấn đề nào được đề cập trong chương trình tiền thưởng lỗi.
Mặc dù 220 lỗi đã được gửi, tùy thuộc vào nhà cung cấp để quyết định xem các vấn đề có đủ điều kiện để thanh toán hay không. Và ngay cả khi có một khoản thanh toán, tùy thuộc vào nhà cung cấp quyết định số tiền. Tuy nhiên, ngay cả khi mỗi một trong số hơn 200 lỗi chỉ có giá trị vài trăm đô la, điều đó không tệ trong vài giờ làm việc trong ba ngày.
Đại diện của Facebook thậm chí đã có mặt trong các sự kiện để đưa ra những hiểu biết sâu sắc về các chương trình tiền thưởng lỗi của họ cũng như để trả lời các câu hỏi từ những người tham gia.
Tom Brennan, thành viên hội đồng quản trị của OWASP Foundation và là một trong những người tổ chức cho AppSec USA cho biết, những người đã tham gia các khóa đào tạo tìm hiểu về các kỹ thuật khác nhau đã dừng lại để tham gia vào vụ hack nhóm. Mọi người đã hợp tác trong khi làm việc trên các mục tiêu và yêu cầu giúp đỡ lẫn nhau. Tìm lỗi không phải là một quá trình tự động vì nó thực sự đòi hỏi mọi người phải suy nghĩ về những gì họ đang thấy và điều chỉnh các kỹ thuật của họ cho phù hợp. Một môi trường hợp tác nơi mọi người có thể đưa ra ý tưởng lẫn nhau có thể "rất hiệu quả" để săn lỗi, Brennan nói.
