Polowanie na błędy i luki w zabezpieczeniach programów, aplikacji i stron internetowych

Nikt nie jest idealny. Nie ma osoby, która we wszystkim jest perfekcyjna i nigdy nie popełnia błędów. Z tego powodu całe sztaby programistów i różnego typu testerów sprawdzają każdy program, aplikację i stronę internetową pod kątem występujących w nich błędów i braków. Nie chodzi tu jedynie o poprawność działania produktu, ale również bezpieczeństwo użytkowników i wizerunek własny firmy. Za brak odpowiednich zabezpieczeń firmie grożą nawet milionowe kary. Coraz więcej firm decyduje się na wprowadzenie programy Bug Bounty. Polega on ta tym, że hakerzy szukają dziur w systemie po podzieleniu się odkryciem z firmą w której programie znaleźli błąd oraz odpowiednim jego opisaniu dostają oni wynagrodzenie adekwatne do krytyczności znalezionego błędu. Oczekiwanymi błędami są luki w zabezpieczeniach. Nieraz wartość wynagrodzenia za znalezienie takiego błędu przekracza równowartość rocznej pensji.

Występujące luki i błędy niekoniecznie wynikają z tego, że dzisiejszy software jest pisany aż tak źle, by ciągle trzeba go było poprawiać. Jest to po prostu naturalna konsekwencja wzrostu złożoności programów i aplikacji. Autorzy kodu mają świadomość nieidealności ich działa, dlatego oferują programy polowania na błędy (z ang. bug bounty). Udział firmy w takim programie pozwala na podniesienie jakości oferowanej aplikacji, strony internetowej czy programu.

Swoje programy polowania na błędy wprowadzili min. Microsoft, Apple, Google, Facebook, GitHUB czy nasze polskie Allegro i portal Pyszne.pl. Część firm uczestniczy w programie za pośrednictwem firmy HackerOne. Dysponuje ona obfitym katalogiem uczestników. Wysokie stawki przyciągają licznych specjalistów. Ceny zaczynają się od kilkuset złotych , a kończą na  300 000 $ oferowanych przez firmę Microsoft, jeżeli komuś uda się wykazać, że możliwe jest naruszenie integralności kontrahentów klienta. Najniżej przez Microsoft wyceniane są luki w oprogramowaniu do ochrony państwowych wyborów (15 tyś. $).

Niestety bycie łowcą to nie jest łatwe zadanie. Nie za każdym razem udaje się znaleźć opłacalne dziury w oprogramowaniu. Poddaje to zawodowych łowców ciągłej presji kreatywności, która może prowadzić do silnego stresu i wypalenia. Samo doświadczenie i wiedza bez mocnej psychiki nie zawsze wystarczą. Aby przygotować potencjalnych przyszłych łowców. Miasto Bydgoszcz postanowiło stworzyć program Bug Bounty dla uczniów, w którym można wygrać spore sumy pieniędzy w znajdowaniu dziur w systemach informatycznych Miasta. Ten program ma na celu nie tylko wykrycie błędów, ale pełni również ważną funkcję edukacyjną. Pokazuje, że nie zawsze bycie hackerem to coś złego, a informatyka jest bardzo przyszłościową, ciągle rozwijającą się dziedziną.

Skoro nawet tak duże firmy i poważne organizacje mają problem z zapewnieniem odpowiedniego bezpieczeństwa, to pomyśl ile niedociągnięć nie zauważasz codziennie używając swojego sprzętu elektronicznego.

Źródła:

https://www.dobreprogramy.pl/Bug-Bounty-oto-jak-dziala-polowanie-na-bledy,News,104534.html

https://highlab.pl/bydgoszcz-bug-bounty-dla-uczniow/