Bug Bounty от Tor Project


Содержание

Самые высокооплачиваемые Bug Bounty программы

Bug Bounty — это программа, предлагаемая многими веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая случаи массовых злоупотреблений. С определением разобрались, теперь давайте взглянем на топ-10 программ Bug Bounty.

1. Apple

На момент запуска программы Bug Bounty от Apple, доступ к ней имел ограниченный круг лиц, но в 2020 году она стала доступна всем желающим. У вознаграждений нет фиксированного потолка, и, кроме того, компания готова заплатить 100,000 $ тому, кто сможет получить доступ к данным, защищённым технологией Apple Secure Enclave. Самая высокая награда составила 200,000 $ за нахождение дыр в безопасности этой технологии.

2. Microsoft

Официально запущенная 23 сентября 2014 года программа Microsoft касается только онлайн-сервисов. К сожалению, награда полагается только за важные и критические уязвимости. Минимальное вознаграждение за критические уязвимости составляет 15,000 $, а максимальное — 250,000 $.

3. Facebook Whitehat

В рамках Bug Bounty программы от Facebook, пользователи могут сообщать о проблемах с безопасностью в Facebook, Instagram, Atlas, WhatsApp и других сервисах компании. Тем не менее, если отчёт о проблеме не соответствует правилам, то Facebook может инициировать судебный иск. Потолка у вознаграждений нет, а минимальная выплата составляет 500 $.

4. Google Vulnerability Reward Program

Под программу Bug Bounty от Google попадают все веб-сервисы компании, которые имеют дело с конфиденциальными данными пользователей: Google, YouTube, Blogger. За них платят от 100 $ до 31,337 $. Также можно искать уязвимости и в других продуктах Google, таких как Chrome и Android, за которые готовы заплатить вплоть до 200,000 $.

5. Intel

Bug Bounty программа от Intel в основном ориентирована на аппаратное обеспечение, прошивку и программное обеспечение компании. К сожалению, в неё не входят недавние приобретения компании, веб-инфраструкутра, сторонние продукты или что-либо, связанное с McAfee. Максимальное вознаграждение за критические уязвимости составляет 250,000 $, минимальное — 500 $.

6. Twitter

Twitter даёт возможность исследователям безопасности сообщать о возможных уязвимостях и поощряет их согласно своей программе Bug Bounty. Минимальное вознаграждение составляет 140 $, а максимальное — 15,000 $.

7. Avast

Avast платит за обнаружение уязвимостей вроде удалённого выполнения кода, повышения привилегий, DoS и обхода сканера. Выплаты составляют от 400 $ до 10,000 $, хотя могут заплатить и больше.

8. Yahoo

Yahoo платит до 15,000 $ за нахождение уязвимостей в своей системе, однако компания не предлагает вознаграждение за поиск уязвимостей в yahoo.net, Yahoo7, Yahoo Japan, Onwander и блоги Yahoo на WordPress. Также Yahoo не устанавливает конкретной минимальной выплаты.

9. Mozilla

Mozilla платит за найденные уязвимости в своих продуктах вроде Firefox, Thunderbird и других. Минимальное вознаграждение составляет 500 $, а максимальное может достигать 10,000 $ и больше.

10. GitHub

В 2013 году у GitHub появилась своя программа Bug Bounty. Кроме выплат исследователи получают очки за найденные уязвимости и продвигаются выше по соревновательной таблице. Тем не менее, вознаграждение полагается только тем, кто не нарушил установленных правил. GitHub платит от 555 $ до 20,000 $.

Администрация Tor Project запустила собственную программу bug bounty

Еще в конце 2015 года администрация Tor Project впервые решила запустить программу для вознаграждения экспертов за обнаруженные уязвимости. Приватная программа bug bounty была запущена в январе минувшего года. С ее помощью удалось выявить многие уязвимости, в том числе позволяющие спровоцировать отказ в обслуживании.

Представители Tor Project и Open Technology Fund объявили о запуске программы вознаграждений на платформе HackerOne, к которой может присоединиться любой желающий. Поиск уязвимостей необходимо вести в браузере и сетевом демоне Tor.

В рамках программы рассматриваются уязвимости, которые позволяют повышать привилегии, дистанционно выполнять произвольный код, получать без авторизации доступ к пользовательской информации, а также к сведениям о методиках атак для извлечения зашифрованных данных с клиентов и узлов. Администрация Tor Project готова платить от 100 до 4000 долларов за каждую уязвимость.

The Tor Project Is Starting a Bug Bounty Program

White hat hackers who discover vulnerabilities in Tor applications could get pa >

The Tor Project, the non-profit that maintains software for anonymity on the internet, will soon be offering a bug bounty program, meaning those who find vulnerabilities in Tor applications could get paid for their efforts.

The announcement was made during the recurring «State of the Onion» talk at Chaos Communication Congress, an art, politics and security conference held annually in Hamburg, Germany.


«We are grateful to the people who have looked over our code over the years, but the only way to continue to improve is to get more people involved,» Nick Mathewson, co-founder, researcher, and chief architect of the Tor Project told Motherboard. The program will start in the new year.

Bug bounties are payments made by companies or organisations to researchers who find problems in their website or products, and who then report them. For example Microsoft offers bounties, as do a host of other companies, large and small.

This approach sits in stark contrast to hackers who find vulnerabilities and, instead of informing the company affected so that the problems can be fixed, sell the details to governments or private surveillance companies, sometimes via a proxy, which can then take advantage of the vulnerabilities in offensive attacks.

In November, researchers were awarded $1 million by new exploit company Zerodium for hacking the latest iOS operating system. Zerodium will pay $30,000 for an exploit that affects the Tor Browser.

Bug bounties typically award researchers a lower fee, however, ranging from a few hundred dollars to tens of thousands. In 2014, Facebook paid a total of $1.3 million in bounties.

«We have a sponsor, OTF [Open Technology Fund], who is paying HackerOne, a company that specializes in this, to help us do it,» Roger Dingledine, co-founder and research director of the Tor Project, told Motherboard.

HackerOne is a platform for connecting researchers who discover vulnerabilities and the companies affected by them. HackerOne raised $25 million in private funding earlier this year.

«The program will start out invite-only,» Mike Perry, lead developer of the Tor Browser, said during the talk, and added that vulnerabilities «specific to our applications» would fall into the program.

«This program will encourage people to look at our code, find flaws in it, and help us to improve it,» Mathewson said.

Information Security Squad

Только хакер может думать как хакер. Поэтому, когда дело доходит до того, чтобы стать «защищенным от хакеров», вам, возможно, придется обратиться к хакеру.

Безопасность приложений всегда была горячей темой, которая только усиливалась со временем.

Даже имея в своем распоряжении целый ряд инструментов защиты и практики (брандмауэры, SSL, асимметричная криптография и т. д.), ни одно веб-приложение не может заявить о своей безопасности вне досягаемости хакеров.

Простая причина в том, что создание программного обеспечения остается очень сложным и хрупким процессом.

Внутри фонда ПО все еще есть ошибки (известные и неизвестные), и новые версии создаются с запуском нового программного обеспечения и библиотек.

Даже ведущие технологические компании готовы к случайным затруднениям, и тому есть веская причина.

Приглашаем на работу . , , Хакеры !

И с чего бы это? Только потому, что в продаже есть достаточно большая награда — награда за ошибку! ?

Если слово «щедрость» возвращает воспоминания о Диком Западе и о том, что пули были выпущены без промедления, то именно в этом и заключается идея.

Bug Bounty: собственное размещение программы

Зачем вам нужно выбирать (и платить) за платформу, если вы можете просто разместить ее самостоятельно?

Я имею в виду, просто создайте страницу с соответствующими деталями и пошуметь в социальных сетях.

Это явно не может потерпеть неудачу, верно?

Это хорошая идея, но взгляните на нее с точки зрения хакера.

Поиск ошибок — нелегкая задача, так как требует нескольких лет обучения, практически безграничного знания старых и новых вещей, тонны решимости и большей креативности, чем у большинства «визуальных дизайнеров» (извините, не смог устоять перед этим!: -Р).

Хакер не знает, кто вы, или не уверен, что вы заплатите.

Или, может быть, это не мотивировано.

Самостоятельные награды работают на таких гигантов, как Google, Apple, Facebook и т. д., чьими именами люди могут гордиться в своем портфолио.

Цукерберг рекомендует:  Адаптивный слайдер на CSS

«Нашли критическую уязвимость при входе в систему в приложении HRMS, разработанном XYZ Tech Systems», теперь это не впечатляет, не так ли (с извинениями перед любой компанией, которая может напоминать это имя!)?

Недостаток инфраструктуры


«Хакеры», о которых мы говорили, — это не те, кто преследует Темную Паутину.

У них нет ни времени, ни терпения для нашего «цивилизованного» мира.

Top 30 Bug Bounty Programs in 2020

Below is a curated list of Bounty Programs by reputable companies

1) Intel

Intel’s bounty program mainly targets the company’s hardware, firmware, and software.

Limitations: It does not include recent acquisitions, the company’s web infrastructure, third-party products, or anything relating to McAfee.

Minimum Payout: Intel offers a minimum amount of $500 for finding bugs in their system.

Maximum Payout: The Company pays $30,000 maximum for detecting critical bugs.

2) Yahoo

Yahoo has its dedicated team that accepts vulnerability reports from security researchers and ethical hackers.

Limitations: The Company does not offer any reward for finding bugs in yahoo.net, Yahoo 7 Yahoo Japan, Onwander and Yahoo operated Word press blogs.

Minimum Payout: There is no set limit on Yahoo for minimum payout.

Maximum Payout: Yahoo can pay $15000 for detecting important bugs in their system.

3) Snapchat

Snapchat security team reviews all vulnerability reports and acts upon them by responsible disclosure. The company, we will acknowledge your submission within 30 days.

Minimum Payout: Snapchat will pay minimum $2000.

Maximum Payout: Maximum they will pay is $15,000.

4) Cisco

Cisco encourages individuals or organization that are experiencing a product security issue to report them to the company.

Minimum Payout: Cisco’s minimum payout amount is $100.

Maximum Payout: Company will give maximum $2,500 to finding serious vulnerabilities.

5) Dropbox

Dropbox bounty program allows security researchers to report bugs and vulnerabilities on the third party service HackerOne.

Minimum Payout: The minimum amount paid is $12,167.

Maximum Payout: The maximum amount offered is $32,768.

6) Apple

When Apple first launched its bug bounty program it allowed just 24 security researchers. The framework then expanded to include more bug bounty hunters.

The company will pay $100,000 to those who can extract data protected by Apple’s Secure Enclave technology.

Minimum Payout: There is no limited amount fixed by Apple Inc.


Maximum payout: The highest bounty given by Apple is $200,000 for security issues affecting its firmware.

7) Facebook

Under Facebook’s bug bounty program users can report a security issue on Facebook, Instagram, Atlas, WhatsApp, etc.

Limitations: There are a few security issues that the social networking platform considers out-of-bounds.

Minimum Payout: Facebook will pay a minimum of $500 for a disclosed vulnerability.

Maximum Payout: There is no upper limit fixed by Facebook for the Payout.

8) Google

Every content in the .google.com, .blogger, youtube.com are open for Google’s vulnerability rewards program.

Limitations: This bounty program only covers design and implementation issues.

Minimum Payout: Google will pay minimum $300 for finding security threads.

Maximum Payout: Google will pay the highest bounty of $31.337 for normal Google applications.

9) Quora

Quora offers Bug Bounty program to all users and researchers to find and report security vulnerabilities.

Minimum Payout: Quora will pay minimum $100 for finding vulnerabilities on their site.

Maximum Payout: Maximum payout offered by this site is $7000.

Bounty Link: https://engineering.quora.com/Security-Bug-Bounty-Program

10) Mozilla

Mozilla rewards for vulnerability discoveries by ethical hackers and security researchers.

Limitations: The bounty is offered only for bugs in Mozilla services, such as Firefox, Thunderbird and other related applications and services.

Minimum Payout: Minium amount given by Firefox is $500.

Maximum Payout: The Company is paying a maximum of $5000.

11) Microsoft

Microsoft’s current bug bounty program was officially launched on 23rd September 2014 and deals only with Online Services.

Limitations: The bounty reward is only given for the critical and important vulnerabilities.

Minimum Payout: Microsoft ready to pay $15,000 for finding critical bugs.

Maximum Payout: Maximum amount can be $250,000.

12) OpenSSL

OpenSSL bounty allows you to report vulnerabilities using secure email (PGP Key). You can also report vulnerabilities to the OpenSSL Management Committee.

Minimum Payout: The Company pays minimum bounty rewards of $500.

Maximum Payout: The highest amount given by the company is $5000.


13) Vimeo

Vimeo welcomes any security vulnerability reporting in their products as the company pays good rewards to that person.

Minimum payout: The Company will pay minimum $500

Maximum Payout: The maximum amount paid by this company is $5000.

14) Apache

Apache encourages ethical hackers to report security vulnerabilities to one of their private security mailing lists.

Minimum payout: The minimum pay out amount given by Apache is $500.

Maximum Payout: This Company can maximum give a reward of $3000.

15) Twitter

Twitter allows security researchers and experts about possible security vulnerabilities in their services. The company encourages people to find bugs.

Minimum Payout: Twitter is paying minimum $140 amount.

Maximum Payout: Maximum amount pay by the company is $15000.

16) Avast

Avast bounty program rewards ethical hackers and security researchers to report Remote code execution, Local privilege escalation, DOS, scanner bypass amongst other issues.

Minimum Payout: Avast can pay you the minimum amount of $400.

Maximum Payout: The maximum amount offered by the company is $10,000.

17) Paypal

Payment gateway service Paypal also offers bug bounty programs for security researchers.

Limitations:

Vulnerabilities dependent upon social engineering techniques, Host Header

Denial of service (DOS), User defined payload, Content spoofing without embedded links/HTM and Vulnerabilities which require a jailbroken mobile device, etc.

Minimum Payout: Paypal can pay minimum $50 for finding security vulnerabilities in their system.

Maximum Payout: Maximum payout amount given by Paypal is $10000.

18) GitHub

GitHub’s runs bug bounty program since 2013. Every successful participant earned points for their vulnerability submissions depending on the severity.

Limitation: The security researcher will receive that bounty only if they respect users’ data and don’t exploit any issue to produce an attack that could harm the integrity of GitHub’s services or information.

Minimum Payout: Github pays a minimum amount of $200 for finding bugs.

Maximum Payout: Github can pay $10000 for finding critical bugs.

19) Uber

The vulnerability rewards program of Uber primarily focused on protecting the data of users and its employees.


Minimum Payout: There is no predetermined minimum amount.

Maximum Payout: Uber will pay you $10,000 for finding critical bug issues.

20) Magento

Magneto bounty program allows you to report security vulnerabilities in Magneto software or websites.

Limitations:

Following security research is not eligible for the bounty

  • Potential or actual denial of service of Magento applications and systems.
  • Use of an exploit to view data without authorization.
  • Automated/scripted testing of web forms

Minimum Payout: Minimum payout amount for this is bounty program is $100.

Maximum Payout: Magento is paying maximum $10,000 for finding critical bugs.

21) Perl

Perl is also running bug bounty programs. If someone found a security vulnerability in Perl, they can contact the company.

Minimum Payout: The Company pays a minimum amount of $500.

Maximum Payout: The highest amount given by Perl is $1500.

22) PHP

PHP allows ethical hackers to find a bug in their site.

Limitations: You need to check the list of already finding bugs. If you not follow this instruction your bug is not considered.

Maximum Payout: Minimum Payout amount is $500.

Minimum Payout: Maximum $1500 is given by PHP for searching important bugs.

23) Starbucks

Starbucks runs bug Bounty program to protect their customers. They encourage to find malicious activity in their networks, web and mobile applications policies.

Minimum Payout: The minimum amount paid by Starbucks $100.

Maximum Payout: The maximum amount goes up to $4000.

24) AT&T

AT&T also has its bug hunting channel. Developers and security experts can research the various platforms like websites, APIs, and mobile applications.

Minimum Payout: Minimum Amount Paid by them is $500.

Maximum Payout: There is no such upper limit for payout.

25) LinkedIn

The LinkedIn welcomes Individual researchers who contribute their expertise and time to find bugs.

The company will reward you, but neither minimum nor maximum amount is a fix for this purpose.

26) Paytm


Paytm invites independent security groups or individual researchers to study it across all platforms

Limitations:

  • Reports that state that software is out of date/vulnerable without a ‘Proof of Concept.’
  • XSS issues that affect only outdated browsers.
  • Stack traces that disclose information.
  • Any fraud issues

Minimum Payout: The Company will pay minimum $15 for finding bugs.

Maximum Payout: This company does not fix the upper limit.

27) Shopify

Shopify’s Whitehat program rewards security researchers for finding severe security vulnerabilities

Minimum Payout: The minimum amount paid by the Shopify is $500.

Maximum Payout: There is no fix upper limit for paying the bounty.

28) Word Press

WordPress also welcomes security researchers to report about the bugs that they have found.

Minimum Payout: WordPress Pays $150 minimum for reporting bugs on their site.

Maximum Payout: The Company does not fix a maximum limit to pay as bounty.

29) Zomato

Zomato helps security researcher to identified security-related issues with company’s website or apps.

Minimum Payout: Zomato will pay minimum $1000 for finding important bugs.

Maximum Payout: There is no maximum fix amount.

30) Tor Project

Tor Project’s bug bounty program covers two of its core services: its network daemon and browser.

Цукерберг рекомендует:  Хэширование паролей с помощью Hash API

Limitation: OpenSSL applications are excluded from this scope.

Minimum Payout: The minimum amount paid by them is $100.

Maximum Payout: The Company will pay you maximum $4000.

(No link available) Bounty Link: This email address is being protected from spambots. You need JavaScript enabled to view it.

31) Hackerone

HackerOne is one of the biggest vulnerability coordination and bug bounty platform. It helps companies to protect their consumer data by working with the global research community for finding most relevant security issues. Many known companies like Yahoo, Shopify, PHP, Google, Snapchat, and Wink are taking the service of this website to give a reward to security researchers and ethical hackers.

32) Bugcrowd

A powerful platform connecting the global security researcher community to the security market. This site aims to provide right mix and type of researcher suited according to the specific website to their worldwide clients. The hackers just need to select their reports on this site, and if they can detect right bugs, the specific company will pay the amount to that person.

Tor Project to launch first bug bounty program

Found a bit of rot in one of the anonymizing layers of the Tor service?

It well might be worth something – something monetary, that is, beyond just good karma with the pro-privacy population.


The Tor Project on Monday announced that as of the New Year, it will be paying bug bounties.

The bounty program was announced at the State of the Onion address at the annual Chaos Communication Congress art, politics and security conference in Germany, according to Motherboard.

The reference to onion, of course, is that Tor is short for “The Onion Router,” because it shuffles traffic around randomly inside its network, wrapping each step in its own layer of encryption, in the way that an onion is made up of concentric layers.

Nick Mathewson, co-founder, researcher, and chief architect of the Tor Project, told the publication that when it comes to scouring code, it’s time to get more people on board:

We are grateful to the people who have looked over our code over the years, but the only way to continue to improve is to get more people involved.

The nonprofit Tor Project, founded by Roger Dingledine and Matthewson in 2006, develops and maintains free software and tools that support anonymous communications on the Dark Web.

Tor’s multiple layers of encryption shield the path your traffic takes, thus shielding your location and your connection to any hidden services you use.

But Tor’s own analysis has found that hidden services actually make up only a fraction of its traffic: about 3.4% of client traffic is hidden-service traffic, and 6.1% of traffic seen at a relay is hidden-service traffic.

In other words, it’s used for far more than buying drugs or dealing in child abuse images.

Tor’s normal, non-criminal users include journalists, law enforcement, activists, whistleblowers (Edward Snowden’s a user), those who don’t want to be surveilled, and people trying to protect their kids’ personally identifying information (PII), among others.

Details about the bug bounty program are limited, but we do know this: it’s going to be invitation-only, at least at first, and it will cover vulnerabilities specific to Tor applications.

Dingledine said that the Tor Project is working with a sponsoring organization, the Open Technology Fund (OTF).

The OTF is paying HackerOne, a platform for connecting researchers who discover vulnerabilities and the companies affected by them, to help it run the bounty program.

Tor already has a price on its head, of course. Or, rather, make that a few prices.

A new security company known as Zerodium, the company that made a splash in September by waving around $1 million for an iOS 9 bug, has offered $30,000 for an exploit affecting the Tor browser, according to Wired.

Russia, for its part, has offered a bounty of 3.9m rubles (about £65,000, or $55,000) to anyone who can peel the onion.

In the US, the Tor Project has accused the FBI of paying Carnegie Mellon $1 million to get its hands on technology that allowed it to pierce Tor’s layers, though the university has denied it.

Clearly, there’s money to be made by those who find a bug in Tor.

The Tor Project is understandably starting its bug program off gradually, opting for a model in which it hand-picks the bug finders it wants to start looking first.

But with all the interested parties out there who are keen to learn about a zero-day Tor bug before their surveillance targets do, and who are quite willing to pay for that early access, let’s hope the Tor people shift out of that slow start soon.

The faster the better, for the sake of all who rely on Tor.

Follow @NakedSecurity on Twitter for the latest computer security news.

Follow @NakedSecurity on Instagram for exclusive pics, gifs, vids and LOLs!

The Tor Project Is Starting a Bug Bounty Program

White hat hackers who discover vulnerabilities in Tor applications could get pa >

The Tor Project, the non-profit that maintains software for anonymity on the internet, will soon be offering a bug bounty program, meaning those who find vulnerabilities in Tor applications could get paid for their efforts.

The announcement was made during the recurring «State of the Onion» talk at Chaos Communication Congress, an art, politics and security conference held annually in Hamburg, Germany.

«We are grateful to the people who have looked over our code over the years, but the only way to continue to improve is to get more people involved,» Nick Mathewson, co-founder, researcher, and chief architect of the Tor Project told Motherboard. The program will start in the new year.

Bug bounties are payments made by companies or organisations to researchers who find problems in their website or products, and who then report them. For example Microsoft offers bounties, as do a host of other companies, large and small.

This approach sits in stark contrast to hackers who find vulnerabilities and, instead of informing the company affected so that the problems can be fixed, sell the details to governments or private surveillance companies, sometimes via a proxy, which can then take advantage of the vulnerabilities in offensive attacks.


In November, researchers were awarded $1 million by new exploit company Zerodium for hacking the latest iOS operating system. Zerodium will pay $30,000 for an exploit that affects the Tor Browser.

Bug bounties typically award researchers a lower fee, however, ranging from a few hundred dollars to tens of thousands. In 2014, Facebook paid a total of $1.3 million in bounties.

«We have a sponsor, OTF [Open Technology Fund], who is paying HackerOne, a company that specializes in this, to help us do it,» Roger Dingledine, co-founder and research director of the Tor Project, told Motherboard.

HackerOne is a platform for connecting researchers who discover vulnerabilities and the companies affected by them. HackerOne raised $25 million in private funding earlier this year.

«The program will start out invite-only,» Mike Perry, lead developer of the Tor Browser, said during the talk, and added that vulnerabilities «specific to our applications» would fall into the program.

«This program will encourage people to look at our code, find flaws in it, and help us to improve it,» Mathewson said.

The Tor Project Is launching the Tor Bug Bounty Program

The Tor officially announced to launch the Tor Bug Bounty Program in the next year, a great news for the Tor community.

The non-profit organization that is maintaining the TOR project plans to launch very soon a Tor Bug Bounty Program for researchers who find vulnerabilities in the popular anonymizing platform.

This is a great for all the researchers that fights for online anonymity and that wants to contribute to improve the security offered by the Tor system.

The imminent launch of the Tor bug bounty program was announced during the annual talk (“State of the Onion”) by representatives of the Tor Project at the Chaos Communication Congress held in Hamburg, Germany.

The State of the Onion is arranged to cover technical, social, economic, political, and cultural issues pertaining to anonymity, the Tor Project, and the communities that use the system.

The Tor Bug Bounty Program will reward who report serious security vulnerabilities in the website or products managed by the Tor project.

The Tor Bug bounty project, like similar initiatives, aims to encourage hackers and security experts to responsibly report the loopholes affecting the Tor platform and that they discovered.

“We are grateful to the people who have looked at our code over the years, but the only way to continue to improve is to get more people involved…This program will encourage people to look at our code, find flaws in it, and help us to improve it.” Nick Mathewson, one of the founders of the Tor Project, told to Motherboard.

said about the bug bounty program as reported by Motherboard:

It is likely that the Tor bug bounty program will start in 2020. Clearly the bounty program can award researchers a lower fee respect that sum that could be offered by a government for a zero-day in a project considered strategic by intelligence agencies.

To give you an idea of the price of a zero-day, in November the zero-day trader Zerodium awarded $1 million for hacking the latest Apple iOS operating system, the same company offers Zwill pay $30,000 for an exploit that affects the Tor Browser.

Цукерберг рекомендует:  8 офисных персонажей, мешающих созданию хорошего кода

Who pays the Tor bug bounty program?

“We have a sponsor, OTF [Open Technology Fund], who is paying HackerOne, a company that specializes in this, to help us do it,” explained Roger Dingledine, co-founder and research director of the Tor Project.

HackerOne used by experts that discover flaws in a software and desire to get in touch with the companies affected by them.

“The program will start out invite-only,” Mike Perry, lead developer of the Tor Browser, said during the talk, and added that vulnerabilities “specific to our applications” would fall into the program.

Recently a news monopolized the attention of the Tor community, security experts speculate that the FBI paid the researchers of Carnegie Mellon University (CMU) $1 Million to help them to de-anonymize Tor users, but FBI denies it.

(Security Affairs – Tor bug bounty program, hacking)

Как баг-баунти платформы помогают компаниям защищаться от хакеров

Что такое баунти-платформы, как они работают, и в чем смысл таких программ для бизнеса, в своей колонке для AIN.UA рассказывает Марк Савчук, менеджер по коммуникациям в Hacken.

Сегодня хакерские атаки становятся обыденным делом. Оно и неудивительно – согласно отчету MсAfee и Center for Strategic and International Studies, мировая экономика теряет около $600 млрд в год из-за киберпреступности.

Спрос на услуги по кибербезопасности также бьет рекорды. В 2020 году размер отрасли составит более $96 млрд. На фоне возникновения все новых угроз рождаются новые инновационные решения и методы борьбы с киберпреступниками. Одним из таких решений являются баг-баунти программы.

«Программа баг-баунти» предусматривает «получение вознаграждения (баунти) за нахождение уязвимости (баг) в коде, которое предлагается «белым» хакерам. Соответственно, баг-баунти программа – это процесс, в котором компания приглашает любого желающего протестировать их продукт на уязвимости. Если хакер находит баг – получает вознаграждение.

Первая баг-баунти программа стартовала в 1983 году. Компания Hunter & Ready тестировала свою операционную систему Versatile Real-Time Executive. Любой, кто нашел баг и сообщил об ошибке, мог получить Volkswagen Beetle.


Со временем баг-баунти программы получали все большую популярность. Компании Microsoft, Google, Facebook стали запускать свои собственные баг-баунти программы. Однако так поступали лишь большие компании. Для всех остальных баг-баунти программы были недоступны. Причины заключались в следующем:

  • Проблема номер один – это медийность. Только самые большие компании имели достаточный visibility, чтобы привлечь «критическую массу» хакеров, чтобы получить хороший результат. К тому же, зачем белому хакеру работать с каким-то ноу-неймом, как он будет уверен, что ему действительно заплатят за его работу? Большие компании – более безопасный выбор. Да и могли себе позволить заплатить достойную «баунти» за найденные уязвимости.
  • Второе – компания должна иметь достаточно квалифицированный персонал в IT-департаменте, чтобы грамотно обрабатывать поток найденных багов, который присылают ресерчеры. Потому баг-баунти программы в основном и проводились high-tech-компаниями.

По мере развития интернета и диджитализации бизнеса потребность в баг-баунти программах дошла и до среднего бизнеса. Однако самостоятельно их провести они не могли в силу причин описанных выше. Поэтому начали появляться баг-баунти платформы (например, Hackerone, HackenProof, Bugcrowd). Они помогают проводить баг-баунти программы компаниям, которые бы никогда не справились с данной задачей самостоятельно.

Что из себя представляет баг-баунти платформа?

  • Тикетная система, через которую белые хакеры могут подавать отчеты (репорты), в которых есть детальное описание уязвимости, а также необходимые шаги для устранения этих уязвимостей.
  • Квалифицированный персонал, который проверяет отчеты ресерчеров, верифицирует баги (этот процесс называется «триаж»), фильтрует дубликаты (когда два разных ресерчера нашли один и тот же баг, в этом случае баунти получает тот, кто сообщил о баге первым) и осуществляет ежедневную коммуникацию с клиентом и ресерчерами.
  • Сообщество белых хакеров. Это, наверное, самый главный элемент платформы. Баг-баунти платформы постоянно работают над увеличением количества белых хакеров на своей площадке . В этом их «суперсила» и основная ценность для бизнеса.

Как проходит процесс баг-баунти на платформе?

  1. Первым делом компания-клиент и баг-баунти платформа совместно составляют «скоуп работ». Этот документ четко описывает, какие именно ресурсы клиента подлежат тестированию, за какие именно уязвимости будут выплачены награды и в каком размере.
  2. Запуск баг-баунти программы. Составленный скоуп работ публикуется на сайте и баг-баунти платформа инициирует маркетинговые активности, чтобы привлечь свое сообщество белых хакеров к данной баг-баунти программе. Начинается сам процесс – белые хакеры ищут уязвимости в продукте.
  3. Ресерчеры (они же белые хакеры) присылают отчеты о найденных уязвимостях через баг-баунти платформу, с описанием самой уязвимости и часто с рекомендациями как ее устранить.
  4. Триаж-команда баг-баунти платформы верифицируют баги, которые присылают хакеры. Как только баг был верифицирован и клиент исправил уязвимость в своем продукте – белый хакер получает баунти, то есть, деньги. Одновременно с этим ему начисляют репутацию. На платформах существуют специальные лидборды для рейтингования хакеров.

Стоит подчеркнуть, что именно баг-баунти платформы, и высокая потребность в таких специалистах дают возможность белым хакерам монетизировать свои способности.

До появления баг-баунти платформ и программ фактически не существовало простого и легального способа хакерам зарабатывать деньги. Теперь же, они могут помогать бизнесу, получать достойную заработную плату (размер баунти может доходить и до $100 000 за одну уязвимость) и получать публичное признание.

В чем конкурентное преимущество баг-баунти платформ?

Почему баг-баунти программы лучше обычных компаний, которые предоставляют услуги по кибербезопасности? Несмотря на то что баг-баунти программы не являются панацеей и не отменяют потребность проведения тестов на проникновение, баг-баунти программы имеют несколько ключевых достоинств:

  1. Количество доступных специалистов. В стандартном тесте на проникновение, будет принимать не более 2-5 специалистов. В то время как баг-баунти платформа обладает в своем распоряжении сотнями белых хакеров. Как правило, эти люди с разных уголков света и имеют разную специализацию , что повышает шанс того, что ресерчеры найдут уязвимость в продукте (их больше и у них разный бэкграунд).
  2. Время тестирования. Опять же – стандартный тест на проникновение длится около от нескольких недель до нескольких месяцев в зависимости от объема работы и является точечной оценкой конкретной версии продукта, в то время как баг-баунти программы могут длится годы и являются непрерывным механизмом по оценке безопасности. И все это время ресерчеры будет пытаться найти уязвимость в вашем продукте.
  3. Система вознаграждения. При проведении стандартного теста на проникновение компания заплатит в любом случае – получит она результат или нет. В то время как система вознаграждения в баг-баунти программах основана на оплате за результат, т.е. за каждый верифицированный баг.

Почему компании дают себя хакнуть?

Напоследок главный вопрос – почему компании добровольно отдают свои продукты на растерзание белым хакерам?

Потому что парадигма «я построю суперстену и меня не взломают» не работает, банально потому что технологии и софт обновляется чуть ли не каждую неделю. Новые «дыры» появляются постоянно. Режим «я в домике» уже давно не работает. Вопрос кибербезопасности перешел из временной проблемы в постоянную (нужно постоянно мониторить и улучшать свою защиту). Поэтому передовые компании сменили свое мышление с «Я в домике» на «Если мою систему, будут постоянно пытаться взломать лучшие белые хакеры в мире – то они найдут в моем коде все «дыры», и когда придет черед настоящей атаки, злоумышленники не смогут прорваться сквозь нашу защиту».

Стоит понять, что киберугрозы никуда не уйдут, а будут только усиливаться со временем. Откладывание этого вопроса «на потом» может привести к губительным последствиям для компании. Кибербезопасность станет такой же мейнстримовой задачей, как и ведение бухгалтерского учета.

Однако паниковать не стоит. Передовые технологии и новые подходы к кибербезопасности смогут защитить компании завтра. На каждого хакера есть свой белый хакер.

Tor Project To Launch Bug Bounty Program

Tor would soon be launching a bounty program which would reward any person who finds a vulnerability in one of the most popular anonymity programs these days.

This was announced during “State of the Onion” talk at Chaos Communication Congress, an art, politics, and security conference that is held annually in Hamburg, Germany.

“We are grateful to the people who have looked over our code over the years, but the only way to continue to improve is to get more people involved,” Nick Mathewson, co-founder, researcher, and chief architect of the Tor Project told Motherboard. The program will start in the New Year.

The idea behind this program is to remove all the vulnerabilities which are most of the time found by the hackers and are sold to the government for launching attacks. So, what the program will do is encourage researchers and hackers to find vulnerabilities in return for the reward.

This sort of strategy has been widely employed by nearly all the big companies from around the globe like United Airlines, PayPal, Microsoft, Google etc and has paid a dividend too.

New Exploit Company Zerodium will pay $30,000 to anyone who finds a vulnerability in Tor Browser as it paid $1 million to a group of researchers who found a vulnerability in the latest iOS operating system.

Rewards for bounties range from few hundred dollars to thousands of dollars. Facebook alone spent $1.3 million in bounties in 2014.

“We have a sponsor, OTF [Open Technology Fund], who is paying HackerOne, a company that specializes in this, to help us do it,” Roger Dingledine, co-founder and research director of the Tor Project, told Motherboard.

HackerOne is a perfect platform for the researchers and the companies because it allows companies to put up their programs on the test and for the researchers to gear up for the new challenges. HackerOne rose over $25 million from the private funds this year.

While briefing on the program leading developer for Tor Mike Perry said: “The program will start out invite-only,” and added “specific to our applications” would fall into the program.

Понравилась статья? Поделиться с друзьями:
Все языки программирования для начинающих