/ We know how

Na czym polegają programy typu “bug hunt”

“Bug hunt” to określenie dla specjalnych programów organizowanych przez różne firmy z branży cyfrowej, które polegają na udostępnieniu kodu źródłowego, aplikacji lub systemu wszystkim uczestnikom, których zadaniem jest zidentyfikowanie błędów i zgłoszenie ich organizatorom. Dzięki organizacji “bug hunt” firmy mogą nieustannie zwiększać poziom bezpieczeństwa swoich aplikacji, co dziś, gdy coraz częściej mamy do czynienia z różnymi atakami cybernetycznymi, ma szczególne znaczenie. W poniższym artykule szczegółowo wyjaśniamy, na czym polegają programy typu “bug hunt”.

 

 

Skąd idea programów typu „bug hunt”?

 

W tym momencie zagrożenie różnymi cyberatakami, np. atakiem bruteforce, jest na stosunkowo wysokim poziomie, dlatego coraz więcej firm stawia m.in. na bug hunt. Co to bug hunt? Skąd wzięła się ta idea? Podstawowa dewiza tego typu programów brzmi: “pieniądze za szukanie bugów”. Polega to na tym, że pewne firmy technologiczne decydują się na udostępnienie kodu źródłowego, aplikacji lub systemu, zaś zadaniem uczestników jest zidentyfikowanie błędów i przekazanie informacji na ich temat. Następnie otrzymują oni gratyfikacje finansowe.

Organizacja takiego programu to niezwykle skuteczny sposób na poprawę jakości oprogramowania, co skutkuje poprawą poziomu bezpieczeństwa i stabilności systemów teleinformatycznych. Warto nadmienić, że takie inicjatywy nie tylko przekładają się na bezpieczeństwo, ale także zwiększenie zaufania użytkowników do produktów i usług oferowanych przez poszczególne firmy.

O popularności programów bug hunt świadczy fakt, iż wprowadzają je ogromne, międzynarodowe korporacje, takie jak Google, Facebook czy Pypal. Historia tego typu inicjatyw sięga 1995 roku. Dokładnie 10 października 1995 roku firma Netscape uruchomiła pierwszy program “pieniądze za szukanie bugów”. Polegał on na tym, że zaoferowano nagrody pieniężne wszystkim osobom, które były w stanie zidentyfikować błędy bezpieczeństwa w programie Netscape Navigator 2.0 Beta. Matt Horner, wiceprezes Netscape ds. marketingu, podkreślał, że poprzez nagradzanie użytkowników za szybką weryfikację i zgłaszanie błędów tworzone przez firmę programy będą najwyższej jakości. Firma ta była absolutnym pionierem koncepcji bug hunt. Niestety, inne podmioty w tamtym czasie nie poszły jej śladem.

Kolejną ważną datą w historii rozpowszechniania koncepcji bug hunt był rok 2002. Wtedy firma IDefense zajmująca się bezpieczeństwem informatycznym zorganizowała pierwsze przedsięwzięcie tego typu. Polegało ono na tym, że do IDefense zgłaszały się różne firmy chcące przetestować poziom bezpieczeństwa swoich systemów. Ekspertom z IDefense udostępniano kod źródłowy lub aplikacje i proszono ich o znalezienie błędów. Nagrody za odkrycie błędów były zwykle bardzo wysokie, ponieważ IDefense współpracowało z najlepszymi specjalistami z branży.

Latem 2004 swój program bug hunt uruchomiła Mozilla Firefox. Zaoferowano nagrody w wysokości 500 dolarów wszystkim, którzy znajdą krytyczne luki w tej popularnej przeglądarce. Program sponsorował przedsiębiorca Mark Shuttleworth. Warto zaznaczyć, że Mozilla w dalszym ciągu kontynuuje ten program i rozszerzono go na większość produktów oferowanych przez tę organizację.

Niezwykle istotnym momentem był rok 2010. Wtedy na uruchomienie programu identyfikacji błędów krytycznych w zabezpieczeniach aplikacji zdecydowało się Google, czyli właściciel najpopularniejszej wyszukiwarki na świecie. Obecnie liczba inicjatyw tego globalnego potentata jest ogromna. Jedną z nich były zawody Pwnium – zawody hackingowe, w trakcie których eksperci z całego świata mieli za zadanie… zhakować oprogramowanie Google Chrome. Nagrody za odkrycie błędów w przeglądarce wynosiły nawet kilkadziesiąt tysięcy dolarów. 

Obecnie cyberbezpieczeństwo stanowi jedno z największych wyzwań dla wszystkich firm działających w przestrzeni cyfrowej. Specjalistyczne dziedziny takie jak metasploit cieszą się coraz większym zainteresowaniem, a zapotrzebowanie na usługi wykwalifikowanych fachowców jest bardzo duże.

 

 

Główne założenia tych programów

 

Podstawowym założeniem programów typu bug hunt jest oczywiście zwiększenie bezpieczeństwa oprogramowania. Osoby, które podejmują współpracę z firmą organizującą program, wykrywają błędy w oprogramowaniu. Firma może z kolei szybko naprawić istniejące luki, co przekłada się na wzrost ochrony użytkowników a także poprawę ich satysfakcji i zaufania do danego podmiotu.

Ważnym elementem programów bug hunt jest oczywiście zapewnienie specjalistom biorącym w nich udział wynagrodzenia za wykonaną pracę. Firmy i organizacje oferują nie tylko narody finansowe, ale także szereg innych korzyści, np. możliwość udziału w specjalnych wydarzeniach lub szkoleniach. Dzięki temu podmioty te mają szanse podjęcia współpracy z najlepszymi fachowcami na rynku, co w bezpośredni sposób przekłada się na cyberbezpieczeństwo całego systemu teleinformatycznego.

Istotą programów bug hunt jest też fakt, iż są one szeroko dostępne – może w nich brać udział każda osoba posiadająca odpowiednie umiejętności i wiedzę w zakresie poszukiwania luk w oprogramowaniu. 

Warto też dodać, że z racji szerokiej dostępności firmy organizujące programy bug hunt mają szansę na podjęcie współpracy ze specjalistami o różnorodnych umiejętnościach. To z kolei powoduje, że można będzie znaleźć szereg błędów w oprogramowaniu trudnych do wykrycia dla przeciętnych użytkowników.

Programy bug hunt mają też przejrzyste zasady. Transparentność to ich znak rozpoznawczy – wszystkie zgłoszenia są publikowane i widoczne dla poszczególnych uczestników programu. Dzięki temu każdy może sprawdzić, jakie błędy już znaleziono i zgłoszono.

Ideą programów bug hunt jest też tzw. etyczny hacking, czyli testowanie bezpieczeństwa oprogramowania całkowicie legalnie i zgodnie z przyjętymi normami. Hakerzy mogą w ten sposób wykorzystać swoje umiejętności w dobrym celu i przyczynić się do poprawy bezpieczeństwa,

 

 

Ile można zarobić za udział?

 

Obecnie programy bug hunt są organizowane przez ogromną liczbę firm, ponieważ bezpieczeństwo teleinformatyczne to jedno z największych współczesnych wyzwań. Dowodem tego jest fakt, iż największe globalne korporacje takie jak Microsoft czy Google oferują nawet 100 000 USD za odkrycie krytycznych luk w zabezpieczeniach. W ciągu kilkunastu ostatnich lat wysokość nagród przekazywanych uczestnikom programów bug hunt znacząco wzrosła.

Wskazanie dokładnej kwoty, którą można zarobić za udział w bug hunt, nie jest możliwe. Wszystko zależy od organizatora akcji oraz tego, jakie błędy znajdzie dana osoba. Warto też wiedzieć o tym, iż sam fakt uczestnictwa w takim programie nie daje gwarancji zarobku. Dodatkowo, wykrycie luk w zabezpieczeniach często jest bardzo trudne i wymaga ogromnego nakładu czasu i pracy.

 

 

Jakie firmy prowadzą aktualnie takie programy?

 

Aktualnie programy bug hunt prowadzą zarówno małe firmy technologiczne jak i wielkie, międzynarodowe korporacje cyfrowe. Do grona najbardziej znanych firm organizujących inicjatywy bug hunt zaliczamy:

  • Google,
  • Microsoft,
  • PayPal,
  • Facebook,
  • Amazon,
  • Intel,
  • Salesforce,
  • Microsoft,
  • Apple.

Porozmawiajmy!

    Wypełnij formularz,
    a my pomożemy Ci wdrożyć najnowsze rozwiązania!