Video: Facebook's Hackathon: Competing to Code Education (September 2024)
Vad får du när du lägger några hackare i ett rum och ger dem en lista över målwebbplatser? De går bugg-jakt!
Det var vad som hände på Bug Bash 2013, ett "internetbrett hack-a-thon" som drivs av Bugcrowd på AppSec USA-konferensen i New York tidigare denna vecka. Cirka 80 personer deltog under tre kvällar, och "hundratals" deltog på distans över Internet, säger Casey John Ellis, grundare och VD för Bugcrowd. Deltagarna skickade in buggarna som de identifierade till Bugcrowd, och teamet replikerade villkoren som ledde fram till felet för att bekräfta problemet.
Listan med mål inkluderade företag som Facebook, Google, Etsy, Prezi och Yandex. De säkerhetstestare som deltog identifierade över 220 buggar, sade Ellis. För det mesta var frågorna av den vardagliga run-of-the-fabrik sorten, inklusive vissa injektions- och bypass-sårbarheter.
"Jag har inte hört talas om några exotiska sårbarheter än, men vi analyserar fortfarande våra data, " sade Ellis.
Bugcrowd planerar att släppa mer information om vilken typ av buggar som upptäckts och information om händelsen vid ett senare tillfälle. Den San Francisco-baserade starten startar program där grupper av människor arbetar tillsammans för att hitta buggar på webbplatser och applikationer. När den bekräftar att buggen som rapporteras är legitima, hanterar den processen för att meddela lämpliga leverantörer.
Bug-belöningar
Buggaprogram blir allt mer populära, eftersom företag uppmuntrar forskare att skicka felrapporter direkt till dem istället för att sälja dem till regeringen eller erbjuda dem att utnyttja mäklare. Att inte rapportera felet till leverantören innebär att köparen kan använda dessa sårbarheter för sina egna ändamål och lämnar användare oskyddade från den programvarufel.
Mozilla och Google har förmodligen de mest kända bounty-programmen, men många andra företag erbjuder nu ett slags program (en lång men inte komplett lista finns här). Facebook meddelade i augusti att de hade betalat ut en miljon dollar i vederlag under de senaste två åren.
Inte alla buggar kvalificerar sig för dessa program. Till exempel gör Facebook tydligt att deras program bara täcker frågor som kan "kunna äventyra integriteten för Facebook-användardata, kringgå sekretessskyddet för Facebook-användardata eller möjliggöra åtkomst till ett system inom Facebook-infrastrukturen." Microsoft lanserade en serie priser nyligen och var väldigt specifik i den typ av frågor den letade efter.
Bug Bash 2013
Det är svårt att uppskatta hur mycket buggarna som har upptäckts som en del av Bug Bash är värda totalt, eftersom buggountprogram varierar så mycket i hur mycket de betalar. Vissa program betalar flera hundra dollar och andra betalar flera tusen dollar. Det är också viktigt att notera att varje företag har specifika regler för vad de känner igen som ett fel och vilka typer av problem som täcks under bounty-programmet.
Trots att 220 buggar lämnades in, är det upp till leverantören att bestämma om problemen har utbetalats. Och även om det finns en utbetalning, är det också upp till leverantören att bestämma beloppet. Men även om varje enskilt av de 200+ buggarna bara är värda några hundra dollar, är det inte dåligt för några timmars arbete under tre dagar.
Facebook-representanter var till och med tillgängliga under evenemangen för att ge insikt i sina bounty-program såväl som för att svara på frågor från deltagarna.
Människor som hade varit i träningspass för att lära sig om olika tekniker stannade förbi för att delta i grupphacken, sa Tom Brennan, styrelseledamot för OWASP Foundation och en av arrangörerna för AppSec USA. Människor samarbetade medan de arbetade med mål och bad om hjälp från varandra. Att hitta buggar är inte en automatiserad process eftersom det verkligen kräver att människor tänker på vad de ser och anpassar sina tekniker i enlighet därmed. Brennan sa att en samarbetsmiljö där människor kan studsa idéer från varandra kan vara "mycket effektiv" för feljakt.
