HackerOne
SINT MAARTEN-Felrapport skottpengar, där experter på säkerhet krediteras och betalt för att lämna ut information om sårbarheter i programvara och system för att leverantörer, kan vara lukrativ.
Det är en gemensam mentalitet som inte bara var fel att ha ett fast pris, men den svarta marknaden har inflytande och påverkan på hur mycket säljarna är villiga att betala. Men, enligt HackerOne chief technology officer Alex Ris, detta kunde inte vara längre från sanningen.
Sett till ZDNet, Ris sade att illegal handel med buggar och utnyttjar inte diktera priset sårbarheter efterfrågan i den vita hatten marknaden. Leverantörer erbjuder mindre pengar än vad de buggar skulle få på den svarta marknaden, och ändå är de fortfarande “vinna” kampen för att säkra rapporter.
Varför? Eftersom det måste finnas en balans mellan kontanta belöningar, hålla bug bounty hunters glad, och att dessa system är givande för företag.
Men, Ris säger att det genomsnittliga priset på en bounty bestäms av en rad andra faktorer.
“Vi ser med de flesta kunder att priset på en bugg inte är relaterad till svårighetsgraden av det,” Ris sade. “[I stället], business impact är en av de viktigaste mätningarna som går till prissättning — men det är inte den enda.”
Man skulle kunna tro att de mer allvarliga och potentiellt farliga sårbarhet, desto mer pengar skulle läggas på bordet som ett incitament för forskare att hitta och avslöja det.
Problemet är emellertid mer komplicerat än det verkar.
“När en verksamhet priser sårbarheter, de tillbringar mycket mer tid med tanke på bristen av felet och hur många de tror att de har, vilket är det svåraste att försöka räkna ut [] du kan inte veta,” Ris sade.
De potentiella effekterna av en bugg skulle ha på en verksamhet och intäkter är viktigt, men när ett företag har uppskattat antalet fel de har i vad Ris kallar en “konst eller vetenskap,” som en informerad gissning, en “naturlig kurva” i prissättningen sker.
“Det är inte så att du titt på dina kamrater och gå, hej, alla betalar $20,000 för en [fjärrkörning av kod bugg, eller RCE], jag kommer att betala $20,000 för en RCE,” den verkställande sagt. “Du måste fråga: hur länge har de gjort det, vad var deras tillväxt kurva för att få till det, och hur många har de i mellan tiden?”
I Kaspersky fall, när den säkerhet som företaget först lanserades i en beta bug bounty programmet, priset för ett RCE var satt till $2,000.
Men sex månader i och med tillräckligt med data för att gissa på hur många fel av denna svårighetsgrad kan vara ute, priset var stötte upp till $5 000.
Nästa steg är att bestämma när man ska höja priset på en viss typ av sårbarhet rapport. Företag som inte nödvändigtvis vill starta upp högt och vara pummeled med rapport efter rapport-inte bara för inlagor tar lite tid att gå igenom, men också för att de måste ha de resurser som finns för att lösa säkerhetsproblem.
Som påpekas av Ris, Microsoft, som ett exempel, frågor högre bug bounty utbetalningar under beta stadier som “detta är den tid då deras ingenjörer är redo att börja fastställande av dem.”
“Den naturliga kurvan där priset för dessa sårbarheter förändras mest dramatiskt som inte baseras på vad du kan göra med det, men bristen på det och lagets nuvarande eftersläpningen,” Ris säger. “Försvarare mycket sällan baserar sin prissättning på den svarta marknaden.”
När dessa priser har fastställts, finansiella drag som erbjuds av både legitima utnyttja köpare som Zimperium och illegala handlare på internet magen är ofta långt mer än den genomsnittliga belöningen som erbjuds direkt av säljare.
Enligt Ris, men de är fortfarande kunna konkurrera med den svarta marknaden, utan att erbjuda ens i närheten av samma priser.
Apple, till exempel, bara lanserat en bug bounty program förra året, och erbjuder upp till $200.000 för allvarliga sårbarheter. Innan detta, företagets “Hall of Fame” var tillräckligt för att få en ständig ström av felrapporter utan att betala ett enda öre för dem.
Se även: En titt på toppen HackerOne bugg gåvor av 2016 | Wassenaar-Arrangemanget: När små ord har makt att krossa säkerhet | 2017 största hacks, läckor, och dataintrång
Varför? Inte bara forskare som använder samma utrustning som de kan upptäcka fel och så skulle vilja se dem fast, men det är en “intrinsic motivation” av att se deras arbete gör några bra — och få kredit för det.
“Du måste vara bekväm med en stor mängd moraliska tvetydighet och ingen riktig feedback på hur du gör eller om det är en skillnad [att sälja fel på den svarta marknaden],” Ris säger. “Det visar sig att det är väldigt viktigt för de flesta människor.”