HackerOne
SINT MAARTEN — Bug-bounties, wo security-Experten werden gutgeschrieben und bezahlt für die Offenlegung von Schwachstellen in software und Systemen zu Anbietern, die lukrativ sein können.
Es ist eine gemeinsame Mentalität, die nicht nur alle Fehler haben einen festen Preis, aber der schwarze Markt hat Herrschaft und Einfluss auf, wie viel die Anbieter bereit sind zu zahlen. Aber nach HackerOne chief technology officer Alex Rice, dies könnte nicht weiter von der Wahrheit entfernt.
Sprechen ZDNet, Reis, sagte, dass der illegale Handel mit bugs und exploits nicht diktieren den Preis-Schwachstellen Nachfrage in den weißen Hut Markt. Anbieter mit weniger Geld als das, was die bugs bekommen würden auf dem schwarzen Markt, und doch sind Sie immer noch “gewinnen” der Kampf um die Sicherung der Berichte.
Warum? Da muss es eine balance zwischen cash-Prämien, halten bug-bounty-hunters freut sich, und machen diese Systeme lohnen sich für Unternehmen.
Allerdings, Reis sagt, dass der Durchschnittliche Preis für ein Kopfgeld wird bestimmt durch eine Anzahl von anderen Faktoren.
“Wir sehen mit den meisten Kunden, dass der Preis ein Fehler ist nicht im Zusammenhang mit der schwere”, Rice sagte. “[Statt] -, business impact-ist eine der wichtigsten Messungen, die geht in die Preisbildung, — aber es ist nicht der einzige.”
Sie würde vergeben werden für das denken, dass die mehr schwere und potenziell gefährlich, die Verletzlichkeit, die mehr Geld auf den Tisch, als ein Anreiz für die Forscher, zu finden und weitergeben.
Die Sache ist jedoch komplizierter, als es scheint.
“Wenn ein Unternehmen die Preise, Schwachstellen, Sie verbringen viel mehr Zeit in Anbetracht der Knappheit der Fehler und wie viele Sie denken, Sie haben, was ist die härteste Sache, um zu versuchen und arbeiten Sie heraus, [als] Sie können nicht wissen,” Rice sagte.
Die möglichen Auswirkungen eines Fehlers auf ein Unternehmen und der Umsatz ist wichtig, aber wenn ein Unternehmen hat geschätzt, die Zahl der bugs, die Sie haben, in welcher Reis fordert eine “Kunst oder Wissenschaft”, als eine fundierte Vermutung, eine “Natürliche Krümmung” in der Preisgestaltung tritt.
“Es ist nicht so, dass Sie sich Ihre Kollegen und gehen, hey, jeder zahlt $20.000 für ein [remote code execution bug, oder RCE], ich werde zahlen $20.000 für ein RCE,” der Vorstand sagte. “Sie müssen Fragen: wie lange haben Sie getan, was war Ihr Wachstum Kurve zu bekommen, um es, und wie viele haben Sie in der zwischen Zeit?”
In Kaspersky ist der Fall, wenn die security-Unternehmen, die erstmals ein beta-bug-bounty-Programm, der Preis für ein RCE wurde auf $2,000.
Jedoch, sechs Monate in und mit genug Daten, um zu erahnen, wie viele Fehler dieser Schwierigkeit kann sein da draußen, der Preis war stieß bis zu $5.000.
Die nächste Phase ist zu entscheiden, Wann Sie die Preise erhöhen, eine Besondere Art der Verletzlichkeit Bericht. Unternehmen nicht notwendig beginnen möchten hoch und prügelten mit einem Bericht nach-nicht nur wegen Veröffentlichungen einige Zeit dauern, um durch zu gehen, aber auch, weil Sie müssen die Ressourcen zur Behebung von Schwachstellen.
Wie bereits von Reis, Microsoft, als ein Beispiel, Fragen eine höhere bug-bounty-Ausschüttungen während der beta-Phasen, wie “dies ist die Zeit, wenn Ihre Ingenieure sind bereit zu starten, Sie zu beheben.”
“Die Natürliche Kurve, wo der Preis für diese Sicherheitsanfälligkeiten die meisten änderungen nicht dramatisch basierend auf das, was Sie mit ihm tun können, aber die Knappheit des er und das team die aktuellen Auftragsbestand,” Reis, erklärt. “Verteidiger sehr selten basieren Ihre Preise auf dem schwarzen Markt.”
Sobald diese Preise wurden etabliert, die finanziellen angeboten locken, die von beiden berechtigten verwerten Käufer wie Zimperium und illegalen Händlern im internet-die Schattenseite wird oft weit über dem durchschnittlichen Lohn angeboten direkt vom Anbieter.
Nach Reis, aber Sie sind immer noch in der Lage, zu konkurrieren mit den schwarzen Markt ohne bietet annähernd die gleichen Preise.
Apple, zum Beispiel, nur startete ein bug-bounty-Programm im letzten Jahr, bietet bis zu $200.000 für ernsthafte Sicherheitslücken. Bevor das Unternehmen die Hall of Fame war genug, um zu erhalten einen Konstanten Strom von bug-Meldungen ohne Zahlung einer einzigen cent für Sie.
Siehe auch: Einen Blick auf die top HackerOne bug bounties 2016 | Wassenaar-Abkommen: Wenn die kleinen Worte haben die macht zu erschüttern, security | 2017 größten hacks, leaks und Daten-Verstöße gegen
Warum? Nicht nur, dass die Forscher verwenden die gleichen Geräte, in denen Sie entdecken können bugs und so möchte sehen, wie Sie fest, aber es ist eine “intrinsische motivation”, wenn Ihre Arbeit etwas gutes tun — und Erhalt der Kredit für Sie.
“Sie müssen bequem sein, mit einer ungeheuren Menge von moralischen Ambiguität und keine echte Rückmeldung, wie Sie tun oder ob es einen Unterschied macht [zu verkaufen bugs auf dem “schwarzen Markt”],” Reis, erklärt. “Es stellt sich heraus, dass ist wirklich wichtig für die meisten Leute.”