HackerOne
SINT MAARTEN — Bug premies, waarbij de beveiliging deskundigen zijn bijgeschreven en betaald voor de openbaarmaking van kwetsbaarheden in software en systemen van leveranciers, kan lucratief zijn.
Er is een gemeenschappelijke mentaliteit die niet alleen elke bug hebben een vaste prijs, maar de zwarte markt is de heerschappij en invloed op hoe veel verkopers zijn bereid om te betalen. Maar volgens HackerOne chief technology officer Alex Rijst, dit kon niet verder van de waarheid.
Spreekt ZDNet, Rice zei dat de illegale handel in bugs en exploits niet dicteren de prijs kwetsbaarheden vraag in het witte hoed markt. Leveranciers bieden minder geld dan wat de bugs zou krijgen op de zwarte markt, en toch zijn ze nog steeds het “winnen” van de strijd voor het beveiligen van de rapporten.
Waarom? Omdat er sprake moet zijn van een balans tussen cash beloningen, het houden van bug bounty hunters gelukkig, en het maken van deze regelingen de moeite waard voor bedrijven.
Echter, Rijst zegt dat de gemiddelde prijs van een premie wordt bepaald door een aantal andere factoren.
“We zien bij de meeste klanten dat de prijs van een bug is niet gerelateerd aan de ernst van het” Rice zei. “[In plaats], business impact is één van de belangrijkste metingen die gaat in de prijsstelling — maar het is niet de enige.”
Je zou denken dat de meer ernstige en potentieel gevaarlijk, de kwetsbaarheid, het meer geld zou worden op de tafel als een stimulans voor de onderzoekers te vinden en bekend te maken.
Echter, het probleem is ingewikkelder dan het lijkt.
“Wanneer een bedrijf de prijzen kwetsbaarheden, ze besteden veel meer tijd gezien de schaarste van de bug en hoe veel ze denken dat ze hebben, dat is het moeilijkste ding om te proberen en uit te werken [als] u kunt het niet weten,’ Rijst zei.
De potentiële impact van een fout zou hebben op een bedrijf en de omzet is belangrijk, maar zodra een bedrijf heeft een schatting gemaakt van het aantal fouten die zij hebben in wat Rijst noemt een “kunst of wetenschap,” als een weloverwogen gok, een “natuurlijke curve” in de prijs optreedt.
“Het is niet zo dat je ziet dat je collega’ s en gaan, hey, iedereen is het betalen van $20.000 voor een [tot uitvoering van externe code bug, of RCE], ik ben van plan om te betalen $20.000 voor een RCE,” zei de producent. “Je moet de vraag stellen: hoe lang hebben ze dat ook, wat was hun groeicurve te krijgen om er, en hoeveel hebben ze in de tussen tijd?”
In Kaspersky ‘s geval, wanneer het beveiligingsbedrijf eerste gestart met een beta bug bounty’ programma, de prijs voor een RCE is vastgesteld op $2,000.
Echter, zes maanden en met voldoende gegevens om te raden hoe veel bugs van deze omvang kan worden, dan is het prijs was gestoten tot $5.000.
De volgende stap is te bepalen wanneer tot verhoging van de prijs van een bepaald soort kwetsbaarheid rapport. Bedrijven niet nodig wilt starten hoog en worden geteisterd met rapport na rapport-niet alleen omdat inzendingen neem de tijd om door te gaan, maar ook omdat zij moeten de middelen beschikbaar voor het oplossen van beveiligingsproblemen.
Zoals opgemerkt door Rijst, Microsoft, als voorbeeld, de problemen hoger bug bounty uitbetalingen tijdens de beta fase als “dit is de tijd dat hun technici zijn klaar om te beginnen met het oplossen ervan.”
“De natuurlijke curve waar de prijs voor deze kwetsbaarheden meest dramatisch verandert niet gebaseerd op wat je kunt doen, maar de schaarste en het team de huidige backlog,” Rijst zegt. “Verdedigers zeer zelden aan de basis van de prijzen op de zwarte markt.”
Zodra deze prijzen zijn opgericht, wordt de financiële lokken die worden aangeboden door zowel legitieme exploiteren kopers zoals Zimperium en illegale handelaren op het internet is de onderbuik vaak veel verder dan de gemiddelde beloning direct aangeboden door leveranciers.
Volgens Rijst, echter, ze zijn nog steeds in staat om te concurreren met de zwarte markt zonder het aanbieden van overal in de buurt van de dezelfde prijzen.
Apple bijvoorbeeld, werd een bug bounty ‘ programma van vorig jaar, het aanbieden van $200.000 voor ernstige kwetsbaarheden. Voordat deze het bedrijf van de Hall of Fame was genoeg voor het ontvangen van een constante stroom van bug reports zonder een cent te betalen voor hen.
Zie ook: Een blik op de top HackerOne bug gaven van 2016 | Wassenaar Arrangement: Wanneer kleine woorden hebben de macht te breken van de veiligheid | 2017 de grootste hacks, lekken, en datalekken
Waarom? Niet alleen onderzoekers maken gebruik van dezelfde apparaten waarin ze kunnen ontdekken bugs en dus zou graag zien dat ze vast, maar er is een “intrinsieke motivatie” in het zien van hun werk doen wat goed — en het ontvangen van de eer.
“Je moet comfortabel zijn met een enorme hoeveelheid van de morele ambiguïteit en geen echte feedback op hoe je het doet en of het een verschil maakt [te verkopen bugs op de zwarte markt],” Rijst zegt. “Het blijkt dat heel belangrijk voor de meeste mensen.”