Puugipreemiajaht
Puugipreemiajaht[1] (inglise keeles Bug bounty program) on paljude veebilehtede, organisatsioonide ja arendajate poolt välja pakutud lahendus, mille puhul kasutajad saavad teenida tunnustust ja rahalist kompensatsiooni, kui annavad teada süsteemides eelkõige eksploitide ja haavatavuste tuvastamiseni viivatest vigadest.[2] See võimaldab arendajatel leida ja parandada vigu, enne kui laiem avalikkus nendest teada saab, seeläbi ennetades süsteemi nõrkuste laiahaardelist kuritarvitamist.
Sellise süsteemi on kasutusele võtnud näiteks Mozilla[3], Facebook[4], Yahoo![5], Google[6], Reddit[7] ja Microsoft[8]. Ka tehnoloogiatööstusevälised organisatsioonid (näiteks nagu Ameerika Ühendriikide Kaitseministeerium) on hakanud puugipreemiajahte kasutama kasutama.[9] Puugipreemiajahtide kasutuselevõtt Pentagoni poolt on olnud osa Ameerika Ühendriikide seisukohamuutusest, kus valge kaabu häkkerite juriidilise karistamise asemel julgustatakse neid vigade ja haavatavuste leidmisesse panustama.[10]
Ajalugu
[muuda | muuda lähteteksti]Esimese teadaoleva sarnase algatuse tegid 1983. aastal Hunter & Ready. Nad pakkusid enda operatsioonisüsteemist vea leidjale autasuks Volkswagen Type 1 auto.[11]
Termin bug bounty program tuli kasutusele 1995. aastal, mil Netscape viis ellu enda samalaadset programmi.[12] Programm osutus niivõrd edukaks, et see on leidnud mainimist paljudes Netscape’i edulugu kirjeldanud raamatutes.
Vastuolud
[muuda | muuda lähteteksti]2013. aastal andis üks Palestiina informaatikaüliõpilane Facebookile teada veast, mis võimaldas igaühel postitada video valitud konto alt. Pärast seda, kui Facebooki arendajad ei mõistnud teda õigesti, otsustas too viga ära kasutada ja postitada video Mark Zuckerbergi konto alt. Selle tõttu jättis Facebook talle vea leidmise eest lubatud tasu maksmata.[13]
Yahoo! sattus 2013. aastal kriitika alla, kui nad saatsid puugipreemiajahi raames haavatavuste leidjatele tänutäheks T-särke. Negatiivne vastukaja ajendas neid aga oktoobris alustama uut programmi, mille raames said vigu leidnud kasutajad tänuks 150 – 15 000 dollarit.[14]
Märkimisväärseid näiteid
[muuda | muuda lähteteksti]2013. aasta oktoobris kuulutas Google välja olulise muudatuse enda puugipreemiajahis. Eelnevalt ainult Google’i enda tooteid hõlmanud programm laienes nüüd ka kindlatele kõrgendatud riskiga vabavaralistele tarkvaralahendustele (eelkõige võrgundusele ja operatsioonisüsteemide madaltaseme programmeerimisliidestele).[15] 2017. aastal laiendas Google programmi ka kolmandate osapoolte loodud rakendustele, mis on saadaval Google’i veebipõhise tarkvarapoe Play Store kaudu.[16]
2013. aastal korraldasid Microsoft ja Facebook koos üleinternetilise puugipreemiajahi, eesmärgiga tasustada inimesi, kes tuvastavad vigu laialdaselt kasutatud operatsioonisüsteemides, veebibrauserites või Internetis tervikuna. Lisaks eelmainitutele hõlmas programm ka tarkvaralahendusi nagu Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, NGINX, Apache HTTP Server ja Phabricator.[17][18]
2016. aastal kuulutas Peter Cook välja Ameerika Ühendriikide valitsuse esimese puugipreemiajahi “Hack the Pentagon”.[19] 18. aprillist kuni 12. maini väldanud programmis osales üle 1400 inimese, kes teatasid kokku 138 veast ja kellele Ameerika Ühendriikide Kaitseministeerium maksis kokku 75 000 dollarit preemiat.[20]
Viited
[muuda | muuda lähteteksti]- ↑ "Bug bounty program". AKIT - Andmekaitse ja infoturbe leksikon. Cybernetica. Vaadatud 9. jaanuaril 2020.
- ↑ "The Hacker-Powered Security Report 2017" (PDF). HackerOne. 2017. Vaadatud 03.12.2019.
- ↑ "Mozilla Security Bug Bounty Program". Mozilla. Vaadatud 03.12.2019.
- ↑ "Facebook White Hat". Facebook. 15.10.2019. Vaadatud 03.12.2019.
- ↑ "Verizon Media". HackerOne. 04.02.2014. Originaali arhiivikoopia seisuga 30.06.2018. Vaadatud 03.12.2019.
- ↑ "Google Vulnerability Reward Program". Google. Vaadatud 03.12.2019.
- ↑ "Reddit White Hat". Reddit. 11.02.2014. Vaadatud 03.12.2019.
- ↑ Zimmerman, Steven (26.07.2017). "Microsoft Announces Windows Bug Bounty Program and Extension of Hyper-V Bounty Program". XDA Developers. Originaali arhiivikoopia seisuga 27.07.2017. Vaadatud 03.12.2019.
- ↑ Newman, Lily Hay (10.11.2017). "The Pentagon Opened Up to Hackers—And Fixed Thousands of Bugs". Wired. Vaadatud 03.12.2019.
- ↑ "A Framework for a Vulnerability Disclosure Program for Online Systems". Cybersecurity Unit, Computer Crime & Intellectual Property Section, Criminal Division, U.S. Department of Justice. Juuli 2017. Vaadatud 03.12.2019.
- ↑ Morgan, Steve (09.07.2017). "The first "bug" bounty program". Twitter. Vaadatud 03.12.2019.
- ↑ "Netscape Announces "Netscape Bugs Bounty" With Release of Netscape Navigator 2.0 Beta". Netscape. 10.10.1995. Originaali arhiivikoopia seisuga 1. mai 1997. Vaadatud 03.12.2019.
- ↑ Gross, Doug (20.08.2013). "Zuckerberg's Facebook page hacked to prove security flaw". CNN. Vaadatud 03.12.2019.
- ↑ Osborne, Charlie (03.10.2013). "Yahoo changes bug bounty policy following 't-shirt gate'". ZDNet. Vaadatud 03.12.2019.
- ↑ Goodin, Dan (10.10.2013). "Google offers "leet" cash prizes for updates to Linux and other OS software". Ars Technica. Vaadatud 03.12.2019.
- ↑ Liptak, Andrew (22.10.2017). "Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play". The Verge. Vaadatud 03.12.2019.
- ↑ Goodin, Dan (07.11.2013). "Now there's a bug bounty program for the whole Internet". Ars Technica. Vaadatud 03.12.2019.
- ↑ "The Internet Bug Bounty". HackerOne. Vaadatud 03.12.2019.
- ↑ Pellerin, Cheryl (02.03.2016). "DoD Invites Vetted Specialists to 'Hack' the Pentagon". U.S. Department of Defense. Originaali arhiivikoopia seisuga 13. märts 2016. Vaadatud 03.12.2019.
- ↑ "Hack the Pentagon". HackerOne. Originaali arhiivikoopia seisuga 2. juuli 2017. Vaadatud 03.12.2019.