想赚两万美元?
你所要做的就是破解任天堂3DS,这是一款已经推出好几年的掌机。一个在HackerOne上列出所有信息:黑客发现系统漏洞将获得现金奖励,玩家可以通过该系统购买并存储自己的年龄和性别等个人信息。当然,这是有一个范围的——一些发现要花100美元。此外,任何提交报告的人都必须遵循准确的模板。
它使你想知道 - 为什么一个主要的日本公司提供这样的回报?为什么它甚至值得花费,尤其是当你知道他们有内部安全研究人员?
许多公司,包括苹果,尤伯杯,和Yelp,定期提供悬赏。有一份报告称,苹果公司将支付高达$ 200,000如果你发现了新iPhone的漏洞。这笔费用显然是值得的,否则赏金项目——以及HackerOne这样的网站——就不存在了。
[另关于民政事务总署:7个步骤来启动一个错误恩惠程序]
“主要的好处是,你得到的是觉得像黑客,并会尝试找到像黑客漏洞的研究人员,”阿尔瓦罗·霍约斯,民间组织在说OneLogin,一家身份和访问管理公司。“这有助于你识别你的内部或外部渗透测试团队可能遗漏的问题,不仅因为黑客的心态,还因为你有更多的研究人员在不断测试你的系统。”
首席安全架构师Chris Roberts说Acalvio技术,端点保护公司说,黑客悬赏的上升是由于社会如何变得更加有组织和有帮助的。网站类似BugCrowd和BugSheet使大公司更容易发布奖金,接受研究成果,并支付研究人员。
他告诉CSO,他已经支付了大约$ 3,000到$ 5,000找到一个漏洞,虽然在某些情况下,公司只给他一个温暖的感谢。在某些情况下,他的团队已经悬赏运行高达$ 25,000发现错误,黑客可能暴露。
提供赏金的挑战
罗伯茨指出,公司并不总是准备提供赏金或设立赏金计划。一个巨大的挑战是找到合适的奖励金额来匹配漏洞。
“这可能会导致与研究人员的一些不愉快的交流,”他说。“你必须正确地管理输入、响应和结果——即使你现在希望你的IT安全预算更低。你将不得不雇人来完成提交的结果,否则可能会惹怒那些厌烦了得不到回复的人。”
在某些情况下,黑客会不想被识别和可能不想与公司的法律团队,一旦错误被发现的工作,他说。并非所有的研究人员希望通过阅读复杂的报告模板,它阐述了每一个细节。而且,如果程序没有正确配置(比如,只有在研究人员测试环境),真正的攻击可能很难辨别。
[相关阅读:风险与回报:如何谈论bug奖励计划]
Hoyos表示,赏金项目面临的一个潜在挑战是,它可以让人们关注新的服务、设备或应用程序。它可以提醒犯罪黑客,苹果(Apple)或优步(Uber)等公司知道可能存在漏洞,尽管这未必是真的。
Hoyos说:“如果您的公司缺乏及时关闭报告的bug的资源,那么从理论上讲,您是在让越来越多的第三方知道存在一个可利用的bug。”随着越来越多的第三方意识到这一点,他们中没有人会向恶意的行为者透露这个漏洞或滥用它的可能性也会上升。当然,这是在假设可能出现的最坏结果,而知道自己不知道的东西仍然非常有价值。”
首席执行官保罗·Innella,TDI一家网络安全公司表示,一些赏金项目出了问题——黑客发现了一个漏洞,他们没有让公司知道并收取赏金,而是把发现卖给了黑客黑暗的网络。赏金计划产生了一个新问题。
从双方期待什么
提供赏金 - 或者是谁找的漏洞研究者 - 也具有挑战性,因为在很多方面的诱惑是提供的,而不是聘请安全专家赏金,经营自己渗透测试,并建立一个安全基础设施。
Innella说:“如果你使用这种方法是因为你不了解你的企业防御,这意味着你没有能力发现攻击并采取行动,那么提供赏金对你来说是不合适的。”“赏金项目应该由拥有强大网络防御能力的公司使用,并被视为团队网络安全测试的一部分,本质上是一种外包能力。”
根据安全架构师Nathan Wenzler的说法,为了发现漏洞而投身于道德黑客活动并不是一件容易的事情ASTECH咨询。其中重要的一点,他提出:尽管存在黑客悬赏的数量也有所上升,有也提供更低的量的趋势。尤伯杯,例如,自推出与赏金$ 5,000到$ 10,000顶支付的范围内,共$ 819085,但平均更像是$ 750到$ 1000元利用。
尽管如此,保罗卡拉塔尤德的首席技术官FireMon,防火墙管理公司,称发现一个零日漏洞的大型企业可以支付高得多 - 到七位数量。
这是一个不错的发薪日。
这个故事,“为什么企业提供了一个黑客赏金”最初发表CSO 。