باگ بانتی (Bug Bounty) چیست؟ دریافت پاداش در مقابل آسیب پذیری حتی در ایران!
چند وقتی هست که برنامه های باگ بانتی در ایران هم مد شده و وب سایت هایی هم در این زمینه راه اندازی شدن. ما تو این مقاله از ساینت قرار نگاهی عمیق داشته باشیم به برنامه های باگ بانتی و تخصص ها و نحوه کار اونو باهم بررسی کنیم پس با ما همراه باشید. اگه دوست دارید که به صورت مستقل از مهارت خود کسب درآمد کنید چه به صورت ریالی و یا دلاری این مقاله رو از دست ندید.
برنامه های Bug Bounty به محققان امنیتی مستقل اجازه می دهد اشکالات را به سازمانی گزارش دهند و در مقابل پاداش دریافت کنند. این اشکالات معمولاً سو استفاده های امنیتی و آسیب پذیری هستند، گرچه می توانند شامل مشکلات فرآیند، نقص سخت افزاری و غیره نیز باشند.
این برنامه ها معمولاً از طریق وب سایت ها و کسب و کارهای شخص ثالث و به صورت مستقلی اجرا می شود (مانند Bugcrowd یا HackerOne) یا حتی ممکن است سازمانی خود برنامه ای را تنظیم و اجرا می کند که متناسب با نیازهای سازمان باشد.
برنامه ها ممکن است خصوصی باشند (invite-only) زمانی که محرمانگی برای سازمان اهمیت بالایی دارد و یا برنامه های عمومی باشند. به نحوی که هر کسی می تواند در آن ثبت نام کند. همچنین آنها می توانند در یک بازه زمانی مشخص یا بدون تاریخ پایان انجام شوند اگرچه گزینه دوم معمول تر است.
چه کسی از برنامه های bug bounty استفاده می کند؟
بسیاری از سازمانهای بزرگ از باگ بانتی به عنوان بخشی از برنامه امنیتی خود استفاده می کنند، از جمله AOL ، Android ، Apple ، Digital Ocean و Goldman Sachs. می توانید لیستی از تمام برنامه های ارائه شده توسط ارائه دهندگان عمده اشکالات Bugcrowd و HackerOne را در این سایت ها مشاهده کنید.
چرا شرکت ها از برنامه های bug bounty استفاده می کنند؟
برنامه های Bug Bounty به شرکت ها این امکان را می دهد تا از دانش هکرهای اخلاقی را برای یافتن اشکال در کد خود استفاه کنند. این شیوه به آنها امکان دسترسی به تعداد بیشتری هکر اخلاقی و آزمایش کننده رو با هزینه پایینتر میده. همچنین امکان پرداخت هزینه بعد از گشف باگ مزایای مالی زیادی رو داره.
این به آنها امکان می دهد تا به تعداد بیشتری هکر یا آزمایش کننده دسترسی داشته باشند نسبت به امکان دسترسی فردی به یک. همچنین می تواند شانس یافتن اشکالات و گزارش به آنها را قبل از سو hackاستفاده هکرهای مخرب از آنها افزایش دهد.
چرا محققان و هکرها در برنامه های bug bounty شرکت می کنند؟
یافتن و گزارش اشکالات از طریق برنامه Bounty می تواند هم به پاداش نقدی منجر شود و هم به حسن شهرت رو برای شما به دنبال خواهد داشت. پیدا کردن آسیب پذیری در محصولات و یا سرویس های شرکت های معروف میتونه شما رو معروف و پولدار کنه. همچنین می تونه یک روش عالی برای نشان دادن تجربه هنگام جستجوی شغل باشد، یا حتی می تواند به شما در معرفی به افراد تیم امنیتی درون سازمان کمک کند.
باگ بانتی میتونه یه شغل با درآمد تمام وقت برای برخی از افراد و یا به صورت کار جانبی و یا راهی برای نشان دادن مهارت های شما و گرفتن شغل تمام وقت باشد.
همچنین می تواند سرگرم کننده باشد! این یک فرصت عالی (و البته قانونی) برای آزمایش مهارت های خود در برابر شرکت های عظیم و سازمان های دولتی است.
معایب برنامه bug bounty برای محققان و هکرهای مستقل چیست؟
بسیاری از هکرها در این نوع برنامه ها شرکت می کنند و کسب درآمد قابل توجه در سیستم عامل ممکن است دشوار باشد.
برای درخواست پاداش، هکر باید اولین شخصی باشد که اشکال را به برنامه ارسال می کند. این بدان معناست که در عمل ممکن است هفته ها به دنبال یک اشکال برای سواستفاده باشید، تا تنها نفر دوم باشید که آن را گزارش می کند و هیچ درآمد کسب نمی کنید.
تقریباً تعداد زیادی از شرکت کنندگان در سازمانهای بزرگ موفق به کشف آسیب پذیری نمی شوند.
در حقیقت ، گزارشی از HackerOne در سال ۲۰۱۹ تأیید کرد که از بیش از ۳۰۰،۰۰۰ کاربر ثبت شده ، فقط حدود ۲.۵٪ در زمان حضور خود در این سیستم عامل پاداش دریافت کرده اند.
اساساً، اکثر هکرها در این سیستم عامل ها درآمد زیادی کسب نمی کنند و تعداد کمی از افراد درآمد کافی برای جایگزینی یک حقوق تمام وقت دارند (به علاوه آنها مزایایی مانند روزهای مرخصی ، بیمه درمانی و برنامه بازنشستگی ندارند).
معایب برنامه های Bug Bounty برای سازمان ها چیست؟
این برنامه ها تنها در صورتی سودمند هستند که برنامه منجر به یافتن مشکلاتی در سازمان شود که خود قادر به یافتن آنها نباشند (و اگر بتوانند این مشکلات را برطرف کنند)!
اگر سازمان به اندازه کافی بالغ نیست که بتواند به سرعت مسائل شناسایی شده را برطرف کند، برنامه bunt bounty گزینه مناسبی برای سازمان آنها نیست.
همچنین ، هر برنامه bug bounty احتمالاً تعداد زیادی مقاله ارسالی را به خود جلب می کند ، ممکن است بسیاری از آنها کیفیت بالایی نداشته باشند. یک سازمان باید آماده مقابله با افزایش حجم هشدارها باشند.
بعلاوه ، اگر برنامه به میزان کافی شرکت کنندگان را جذب نکند (یا شرکت کنندگان با مهارت نامناسب، و بنابراین شرکت کنندگان قادر به شناسایی اشکال نباشند)، این برنامه برای سازمان مفید نیست.
اکثریت قریب به اتفاق شرکت کنندگان در برنامه های باگ بانتی، بر روی آسیب پذیری وب سایت تمرکز می کنند (طبق گزارش HackerOn 72٪) ، در حالی که تنها تعداد کمی (۳.۵٪) به دنبال آسیب پذیری سیستم های دیگر هستند.
این احتمالاً به این دلیل است که سیستم عامل های دیگر (مانند سخت افزار شبکه و تچهیزات) به مقدار قابل توجهی از تخصص نیاز دارند. این بدان معناست که شرکت ها ممکن است بازده قابل توجهی از سرمایه را برای دریافت اشکالات در وب سایت ها و نه برای سایر برنامه ها، به ویژه برنامه هایی که نیاز به تخصص ویژه دارند ببینند.
این همچنین به این معنی است که سازمانهایی که نیاز به بررسی یک برنامه یا وب سایت دارند در یک بازه زمانی خاص ممکن است هیچ وقت موفق به پیدا کردن بک باگ مخفی در سیستم خود نباشند زیرا هیچ تضمینی برای دریافت گزارش آن وجود ندارد.
مورد آخر اینکه اجرای این برنامه ها اجازه می دهد تا محققان مستقل سعی در نفوذ به شبکه شما داشته باشند و احتمالا این موضوع خطرناک است. حتی این برنامه های ممکن است منجر به افشای اطلاعات محرمانه سازمان شما شود و در نهایت باعث ایجاد اعتبار منفی در اذهان عمومی شود که ممکن است منجر به عدم تمایل مردم برای خرید محصول یا خدمات سازمان شود.
آیا برنامه bug bounty برای هر سازمانی مناسب است؟
مثلما پاسخ این سوال منفیه. یک سازمان قبل از اینکه برنامه نکاتی با اشکال موثر واقع شود، باید در برنامه امنیتی خود به بلوغ امنیتی مشخصی برسد.
بزرگترین سوالی که یک سازمان باید بپرسد این است که آیا آنها قادر به رفع آسیب پذیری های شناسایی شده هستند یا خیر. اگر آنها نتوانند در مدت زمان معقولی این کار را انجام دهند ، برنامه bug bounty ایده خوبی نیست.
اگر سازمان در تلاش است تا مدیریت پچ ها و آپدیت های اساسی را پیاده سازی کند و یا آنها با مشکلات عدیده دیگری روبرو شده اند که برای رفع آنها تلاش می کنند، حجم اضافی گزارشاتی که یک برنامه ناسازگاری ایجاد می کند ایده خوبی نیست.
هنگامی که مشکلات امنیتی مشخصی وجود نداشته باشد و فرآیندهای اصلاح برای رسیدگی به موارد شناسایی شده وجود داشته باشد همچنین تیم به دنبال گزارش های اضافی است، یک برنامه Bounty Buging ایده خوبی می شود.
علاوه بر این ، همانطور که قبلاً اشاره کردم، در حالی که وب سایت ها معمولاً اهداف خوبی برای برنامه های bug bounty هستند، اما یک هدف کاملاً تخصصی مانند سخت افزار شبکه یا حتی سیستم عامل ها، ممکن است به اندازه کافی شرکت کنندگان را برای ارزشمند شدن جذب نکند.
سرانجام ، مقدار پول یا اعتبار با ارائه موفقیت آمیز گزارش برای سازمان های مختلف ممکن است بر تعداد شرکت کنندگان و تعداد شرکت کنندگان بسیار ماهر تأثیر بگذارد (یعنی گزارش یک اشکال برای اپل یا Google ممکن است دارای اعتبار بیشتری باشد تا یک اشکال برای یک شرکتی که چندان شناخته شده نیست).
چه گزینه هایی ثانویه ای برای برنامه های bug bounty وجود دارد؟
اول اینکه سازمان ها باید برنامه افشای آسیب پذیری داشته باشند. اساساً این مورد یک کانال ایمن برای محققان فراهم می کند تا در مورد آسیب پذیری های شناسایی شده شناسایی شده با سازمان تماس بگیرند، حتی اگر سازمان هزینه مشخصی را پرداخت نکنند.
داشتن یک نقطه تماس مشخص می تواند مفید باشد زیرا می تواند بلافاصله درخواست ها را به تیم امنیتی منتقل کند، به جای یک تیم ارتباطی که ممکن است از نحوه برخورد جدی با گزارش مطلع نباشد. همچنین می تواند محققان را ترغیب کند تا در صورت مشاهده آسیب پذیری ها را گزارش دهند.
علاوه بر این سازمان ها ممکن است شرکت های تست نفوذ را استخدام کنند تا یک آزمایش محدود برای سیستم ها یا برنامه های خاص را انجام دهد. تست نفوذ هدفی منظم و با برنامه ریزی خواهد داشت و در پایان تست نیز یک گزارش تهیه می شود.
در استفاده از تست نفوذ به جای باگ بانتی این اطمینان وجود دارد که سازمان تیمی متشکل از هکرهای بسیار ماهر و قابل اعتماد با قیمت مشخص را به دست می آورد. آنها همچنین می توانند هرگونه تخصص مورد نیاز خود را درخواست کنند و همچنین از خصوصی بودن آزمون به جای دسترسی عمومی استفاده کنند.
این شرکت حتی ممکن است از آزمایش کنندگان بخواهد توافق نامه عدم افشای قرارداد را امضا کنند و برنامه های داخلی بسیار حساس را آزمایش کنند.
کدام یک بهتر است – برنامه های bug bounty یا اجرای برنامه تست نفوذ شده؟
اغلب این دو روش به طور مستقیم قابل مقایسه نیستند – هر یک نقاط قوت و ضعفی دارند.
اگر سازمان از داشتن افراد بیشتری (با مهارت های مختلف) که به دنبال یک مشکل هستند سود بیشتری می برد و این برنامه حساسیت خاصی ندارد و به تخصص خاصی احتیاج ندارد ، احتمالاً یک برنامه باگ بانتی مناسب تر است.
اگر برنامه داخلی حساس باشد، مشکل به تخصص خاصی نیاز دارد ، یا سازمان به یک پاسخ در یک بازه زمانی خاص نیاز دارد ، آزمایش نفوذ مناسب تر است.
مطالب زیر را حتما بخوانید
-
کالی لینوکس چیست؟ و چرا همه متخصصان امنیت باید با آن آشنا باشند!
3.24k بازدید
-
هک اخلاقی با استفاده از پایتون
2.42k بازدید
-
معرفی ابزارهای تست نفوذ
4.35k بازدید
-
تست نفوذ چیست؟ و چگونه به امنیت شما کمک میکند
3.4k بازدید
-
امنیت برنامه ها: همه آنچه شما باید بدانید
1.55k بازدید
-
مقایسه Kali Linux و Parrot OS: چگونه بهترین را انتخاب کنیم؟
2.81k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.