Sebuah bug program karunia adalah kesepakatan yang ditawarkan oleh banyak situs, organisasi dan pengembang perangkat lunak dengan mana individu dapat menerima pengakuan dan kompensasi untuk melaporkan bug , terutama yang berkaitan dengan eksploitasi dan kerentanan.
Program-program ini memungkinkan para pengembang untuk menemukan dan menyelesaikan bug sebelum masyarakat umum menyadarinya, mencegah insiden pelecehan yang meluas.
Program karunia bug telah diterapkan oleh sejumlah besar organisasi, termasuk Mozilla ,Facebook , Yahoo! ,Google , Reddit, Square , dan Microsoft .Perusahaan di luar industri teknologi, termasuk organisasi tradisional yang konservatif seperti Departemen Pertahanan Amerika Serikat , telah mulai menggunakan program karunia bug.
Penggunaan Pentagon terhadap program karunia bug adalah bagian dari perubahan postur yang telah membuat beberapa Instansi Pemerintah AS berbalik arah dari mengancam para peretas topi putih dengan bantuan hukum untuk mengundang mereka untuk berpartisipasi sebagai bagian dari kerangka kerja atau kebijakan pengungkapan kerentanan yang komprehensif.
> Sejarah Bug Bounty
Hunter & Ready memulai program karunia bug pertama yang diketahui pada tahun 1983 untuk sistem operasi Real-Time Executive Serbaguna mereka . Siapa pun yang menemukan dan melaporkan bug akan menerima Volkswagen Beetle (alias Bug) sebagai imbalannya.
Sedikit lebih dari satu dekade kemudian pada tahun 1995, Jarrett Ridlinghafer, seorang insinyur dukungan teknis di Netscape Communications Corporation menciptakan istilah 'Bugs Bounty'.
Netscape mendorong karyawannya untuk mendorong diri mereka sendiri dan melakukan apa pun untuk menyelesaikan pekerjaan. Ridlinghafer mengakui bahwa Netscape memiliki banyak penggemar dan penginjil untuk produk-produk mereka, beberapa di antaranya tampak sangat fanatik, terutama untuk browser Mosaic / Netscape / Mozilla. Dia mulai menyelidiki fenomena ini dengan lebih rinci dan menemukan bahwa banyak penggemar Netscape sebenarnya adalah insinyur perangkat lunak yang memperbaiki sendiri bug produk dan menerbitkan perbaikan atau penyelesaiannya:
- di forum berita yang telah dibentuk oleh departemen dukungan teknis Netscape untuk memungkinkan "swadaya melalui kolaborasi" (salah satu ide Ridlinghafer selama empat tahun bertugas di Netscape); atau
- di situs web "Netscape U-FAQ" tidak resmi, di mana setiap bug dan fitur browser yang dikenal telah terdaftar, serta instruksi tentang penyelesaian dan perbaikan.
Ridlinghafer berpikir perusahaan harus memanfaatkan sumber daya ini dan duduk dan menulis proposal untuk 'Program Netscape Bugs Bounty', yang ia sampaikan kepada manajernya yang kemudian menyarankan agar Ridlinghafer mempresentasikannya pada pertemuan tim eksekutif perusahaan berikutnya.
Pada pertemuan tim eksekutif berikutnya, yang dihadiri oleh James Barksdale , Marc Andreessen dan VP dari setiap departemen termasuk rekayasa produk, masing-masing anggota diberikan salinan proposal 'Program Netscape Bugs Bounty Program' dan Ridlinghafer diundang untuk mempresentasikan idenya kepada Tim Eksekutif Netscape.
Semua orang di pertemuan itu menerima gagasan itu kecuali Wakil Presiden Teknik, yang tidak ingin meneruskannya karena percaya bahwa itu hanya buang-buang waktu dan sumber daya. Namun, Wakil Presiden Teknik ditolak dan Ridlinghafer diberi anggaran awal $ 50rb untuk menjalankan proposal tersebut dan program resmi 'Bugs Bounty' diluncurkan pada 1995.
Program ini merupakan kesuksesan besar yang disebutkan dalam banyak buku yang merinci keberhasilan Netscape.
> Pelanggaran Kebijakan Pengungkapan Kerentanan
Pada Agustus 2013, seorang mahasiswa Ilmu Komputer bernama Khalil menggunakan eksploitasi untuk memposting surat di timeline pendiri situs Facebook Mark Zuckerberg . Menurut peretas, ia telah mencoba melaporkan kerentanan menggunakan program karunia bug Facebook, tetapi karena laporan yang tidak jelas dan tidak lengkap itu, tim tanggapan memberi tahu dia bahwa kerentanannya sebenarnya bukan bug.
Facebook mulai membayar peneliti yang menemukan dan melaporkan bug keamanan dengan menerbitkannya kartu debit "White Hat" bermerek khusus yang dapat dimuat ulang dengan dana setiap kali peneliti menemukan kekurangan baru. "Para peneliti yang menemukan bug dan peningkatan keamanan jarang terjadi, dan kami menghargai mereka dan harus menemukan cara untuk menghargainya," kata Ryan McGeehan, mantan manajer tim respon keamanan Facebook, kepada CNET dalam sebuah wawancara. “Memiliki kartu hitam eksklusif ini adalah cara lain untuk mengenalinya. Mereka dapat muncul di sebuah konferensi dan menunjukkan kartu ini dan mengatakan 'Saya melakukan pekerjaan khusus untuk Facebook.
Pada tahun 2014, Facebook berhenti mengeluarkan kartu debit kepada para peneliti.
Pada 2016, Uber mengalami insiden keamanan ketika seseorang mengakses informasi pribadi 57 juta pengguna Uber di seluruh dunia. Orang tersebut diduga meminta tebusan $ 100.000 untuk menghancurkan data pengguna. Dalam kesaksian Kongres, Uber CISO menunjukkan bahwa perusahaan memverifikasi bahwa data telah dihancurkan sebelum membayar $ 100.000.
Tn. Flynn menyatakan penyesalannya bahwa Uber tidak mengungkapkan insiden tersebut pada 2016. Sebagai bagian dari tanggapan mereka terhadap insiden ini, Uber bekerja sama dengan mitra HackerOne untuk memperbarui kebijakan program hadiah bug mereka, antara lain, menjelaskan dengan lebih seksama itikad baik penelitian dan pengungkapan kerentanan.
> Program terkenal
Pada Oktober 2013, Google mengumumkan perubahan besar pada Program Hadiah Kerentanannya. Sebelumnya, itu adalah program karunia bug yang mencakup banyak produk Google.
Namun, dengan perubahan tersebut, program diperluas untuk mencakup pilihan aplikasi dan perpustakaan perangkat lunak bebas risiko tinggi , terutama yang dirancang untuk jaringan atau untuk fungsionalitas sistem operasi tingkat rendah.
Pengajuan yang menurut Google patuh pada pedoman akan memenuhi syarat untuk hadiah mulai dari $ 500 hingga $ 3133,70.
Pada 2017, Google memperluas program mereka untuk mencakup kerentanan yang ditemukan dalam aplikasi yang dikembangkan oleh pihak ketiga dan disediakan melalui Google Play Store.
Demikian pula, Microsoft dan Facebook bermitra pada November 2013 untuk mensponsori The Internet Bug Bounty, sebuah program untuk menawarkan hadiah untuk melaporkan peretasan dan eksploitasi untuk berbagai perangkat lunak terkait Internet.
Pada 2017, GitHub dan The Ford Foundation mensponsori inisiatif tersebut, yang dikelola oleh sukarelawan dari Uber, Microsoft, Facebook, Adobe, dan HackerOne.
Perangkat lunak yang dicakup oleh IBB termasuk Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL ,Nginx , Apache HTTP Server , dan Phabricator . Selain itu, program ini menawarkan hadiah untuk eksploitasi yang lebih luas yang memengaruhi sistem operasi dan browser web yang banyak digunakan , serta Internet secara keseluruhan.
Pada bulan Maret 2016, Peter Cook mengumumkan program hadiah bug pertama pemerintah federal AS, program "Retas Pentagon".
Program ini berjalan dari 18 April hingga 12 Mei dan lebih dari 1400 orang mengirimkan 138 laporan unik yang valid melalui HackerOne . Secara total, Departemen Pertahanan AS membayar $ 71.200.
Pada bulan Juni, Sekretaris Pertahanan, Ash Carter , bertemu dengan dua peserta, David Dworken dan Craig Arendt, untuk menghormati mereka atas partisipasi mereka dalam program ini.
Open Bug Bounty adalah program bounty bug keamanan kerumunan yang didirikan pada tahun 2014 yang memungkinkan individu untuk memposting kerentanan keamanan situs web dan aplikasi web dengan harapan hadiah dari operator situs web yang terpengaruh.
Tidak ada komentar:
Posting Komentar