Hľadanie bezpečnostných dier pomocou spolupráce s dobrými hackermi existuje viac ako 20 rokov

  • 26.03.2017
  • 3 min. čítanie

Ak si myslíte, že sú tzv. bug bounty programy „výmyslom“ posledných rokov, tak sa mýlite. Systém odmeňovania etických hackerov za nájdené bezpečnostné chyby má korene už v roku 1995. V tomto článku si môžete prečítať, ako sa bug bounty programy zmenili za viac ako 20 rokov na trhu s IT riešeniami.

Predchodca bug bounty programov (1995)

Myšlienka bug bounty programu skrsla v hlave Jarretta Ridlonghfera v roku 1995. V tej dobe pracoval ako inžinier technickej podpory v spoločnosti Netscape. Prvý bug bounty program vymyslel ako systém odmeňovania každého, kto nájde chybu v internetovom prehliadači Navigator 2.0. Táto revolučná myšlienka sa pokladá za jednu z najväčších inovácií spoločnosti Netscape na trhu, no v tej dobe nemala až taký dobrý ohlas a nešírila sa medzi ďalšie spoločnosti.

Bug bounty program spoločnosti Mozilla (2004)

Za zlom v oblasti bug bounty programov možno považovať rok 2004, kedy svoj program odmeňovania za nájdené bezpečnostné nedostatky zverejnila spoločnosť Mozilla Foundation. Ich predchodca „bug bounty programu“ vtedy zastrešoval najmä kritické chyby prehliadača Firefox. Tento systém funguje s menšími obmenami dodnes a etickým hackerom bola touto cestou vyplatená suma viac ako $1 milión.

Zero Day Initiative (2005)

O bug bounty programoch, ako ich poznáme dnes, sa začalo hovoriť v roku 2005. Spoločnosť TippingPoint vtedy predstavila bug bounty program Zero Day Initiative (ZDI) a ako prvá začala verejne hovoriť o odmenách pre „dôveryhodných hackerov“.

Prvé hackerské súťaže (2007)

Povedomie o bug bounty programov zvyšovali aj hackerské súťaže spoločnosti Pwn2own, ktoré sa organizujú od roku 2007 na konferenciách o bezpečnosti CanSecWest. V tej dobe získal finančnú odmenu každý etický hacker, ktorý dokázal nájsť bezpečnostnú chybu v systéme Mac OSX. Dnes táto súťaž ponúka okamžité finančné odmeny do výšky $15,000 za každý bug v moderných smartfónoch, či internetových prehliadačoch, ktoré sa zapoja do hackerskej súťaže.

Veľkí hráči (2010)

V roku 2010 zverejnil svoj bug bounty program Google. Vulnerability Reward Program (VRP) zastrešuje bezpečnosť takmer všetkých aplikácií, ktoré Google ponúka a funguje dodnes. Dokopy už Google vyplatil etickým hackerom viac ako $6 miliónov.

Od roku 2011 ponúka odmeny etickým hackerom aj Facebook. Ich bug bounty program sa pokladá za veľmi dôležitý, nakoľko je Facebook etalónom v mnohých veciach týkajúcich sa online bezpečnosti (aj napriek viacerým bezpečnostným incidentom). Dokopy Facebook rozdal etickým hackerom už viac ako $5 miliónov.

K Facebooku, Googlu a ďalším dôležitým spoločnostiam pracujúcim s online dátami sa v roku 2013 pridal aj Microsoft. Ten za viac ako 3 roky prevádzkovania bug bounty programu rozdal viac ako pol milióna amerických dolárov. $100,000 získal jeden z prvých etických hackerov zapojených do tohto programu v roku 2014 za nájdenie závažnej chyby vo Windowse 8. Rovnaký obnos peňazí získal aj James Forshaw, ktorý objavil dieru v bezpečnosti Windowsu 8.1.

Zdroj: Cobalt.io

Zaujíma vás, aké bug bounty programy ponúkajú ďalšie nadnárodné spoločnosti, ktorých služby využívate denne aj vy? Prečítajte si náš článok 5 veľkých firiem, ktoré používajú bug bounty programy.

Chcete sa dozvedieť viac o IT bezpečnosti? Prihláste sa na odber nášho newslettra a my vám za odmenu pošleme zadarmo elektronickú knihu Základy IT bezpečnosti pre firmy.

Zdroje:
BugCrowd
Cobalt.io

Newsletter

Novinky o IT bezpečnosti pre firmy

Chcete vašu firmu udržať bezpečnou? Prihláste sa k odberu nášho newslettera a dostávajte tipy a novinky zo sveta online bezpečnosti.

Chcem novinky