Bug Bounties i Crypto – den bedste måde at sikre platformssikkerhed?

Kryptofirmaer finder ofte ud af den hårde måde, at hackere kender deres sikkerhedssystemer bedre end de gør. Da hacks i kryptoverdenen ofte kan resultere i, at tokens i hundredvis af millioner dollars bliver stjålet, kan skæbnen for en virksomheds fremtid ofte køre på dens sikkerhedsforanstaltninger. I et forsøg på at lægge lugerne ned tilbyder virksomheder bugpræmier.

Disse dusurer er i det væsentlige konkurrencer, hvor hackere opfordres til at prøve at kompromittere software. Hackerne sender derefter en sårbarhedsrapport til de respektive virksomheder, så de er i stand til at lappe fejlene, før de udnyttes. Som en belønning får succesrige hackere en skøn.

De fleste virksomheder tilbyder dusør i forskudt skala, hvor belønningsprisen svarer til sværhedsgraden af ​​fejlen. Præmier starter fra omkring $ 50 til $ 100 for rettelser på lavt niveau og er normalt begrænset til omkring $ 10.000 for kritiske fejl. I nogle få sjældne tilfælde er hackere tildelt mere.

Katie Moussouris, grundlægger og administrerende direktør for Luta Security, der lancerede både Microsoft og Pentagons første bugbounties, forklarede Cointelegraph, hvordan bugbelønningsordningerne kan være nyttige:

”Fejlfamilier er mest nyttige og effektive som et supplement til proaktive sikkerhedsaktiviteter med fokus på at forebygge og opdage sårbarheder i organisationer først. Når organisationer har etableret god sikkerhedspraksis, kan bug bounties hjælpe med at identificere sikkerhedsfejl, som organisationer gik glip af. Fejlpræmier alene er ikke nok. “

De fleste virksomheder, der udvikler software, har bugpræmier. I kryptoverdenen er behovet for sådanne programmer lige så vigtigt, uanset virksomhedsstørrelse. Ifølge en rapport udført af HackerOne, betalte virksomheder ud $ 878.000 i bugpræmier i 2018. Guido Vranken, en hollandsk forsker, der modtaget $ 120.000 udbetaling fra EOS efter at have opdaget 12 bugs inden for syv dage, fortalte Cointelegraph, at indsatsen er høj for kryptoselskaber:

”For en global digital valuta er der uden tvivl meget mere på spil end mange andre projekter eller websteder. Tyveri af aktiver er det mest håndgribelige eksempel, men på grund af synergien mellem reklame og valutakurser kan nettotab også skyldes en bredt offentliggjort sårbarhed. ”

En af de seneste bugpræmier kommer fra den globale messaging-app Telegram. Annonceret på sin Telegram konkurrencekanal den 24. september, opfordrer virksomheden til udviklere at udnytte TON-blockchain og indsende en sårbarhedsrapport.

Hvis hackere kan udnytte en fejl i TON-blockchain i det omfang, de er i stand til at stjæle penge fra en anden brugers tegnebog, udbetaler Telegram op til $ 200.000, et beløb, der svarer til Augurs kritiske problem. dusør som en af ​​de største belønninger i kryptohistorien. Konkurrencen finder sted på baggrund af den meget forventede lancering af Telegrams native digitale token, Gram, i slutningen af ​​oktober.

EOS tager førstepladsen

Selvom det er fristende at tro, at mindre, nyere virksomheder måske er de mest aktive i at levere bug bounties, tog Block.one, virksomheden bag EOS, førstepladsen i 2018 for bounty-belønninger med $ 534.500 og udbetalte 60% af alle bounties det år ifølge en rapport.

Ifølge EOS profil på HackerOne betaler virksomheden maksimalt $ 1.000 for en rapport med lav risiko og højst $ 10.000 for en kritisk rapport. Profilen bemærker også, at det endelige beløb altid afgøres efter et belønningspanel, med højere belønninger til ekstraordinære sårbarheder.

Retningslinjer for EOS bounty

Efter lanceringen af ​​EOS bounty-programmet i maj 2018, Vranken forklaret hvordan virksomheden havde strammet sin tilgang til sikkerhed i kølvandet på hans opdagelser:

”Rapporterede fejl blev hurtigt analyseret og rettet i deres offentlige lager. Først var processen meget ad hoc, fordi [EOS CTO] Daniel Larimer og jeg sendte filer frem og tilbage på Telegram, men de er siden begyndt at køre et bug bounty-program på HackerOne, som jeg synes er i den bedste interesse for både fejlfindere og EOS-teamet. ”

EOS har fortsat med at udbetale belønninger til hackere i 2019 og uddelte hidtil bugbounties for fem kritiske sårbarheder. Den 10. januar tildelte EOS i alt $ 40.750 til fem hvide hatthackere gennem HackerOne, hvor en anden forsker modtog en yderligere $ 10.000 bounty.

Coinbase er den næststørste udbyder

En af verdens største kryptokurrencyudvekslinger, Coinbase, er den næststørste udbyder på bounties og tildeler i alt 290.381 $ i 2018. Virksomheden har oplevet en række højt profilerede problemer siden at have oplevet en betydelig stigning i brugere i midten af ​​2017 hvilket resulterer i forsinkede eller manglende midler samt serviceafbrydelser.

Virksomheden uddelte yderligere $ 30.000 i belønninger i februar 2019 for at rapportere en kritisk fejl, ifølge til Coinbases program til offentliggørelse af sårbarheder. På det tidspunkt tjente bugten den største belønning nogensinde på platformen, selvom detaljerne i bugten ikke blev offentliggjort. Coinbase driver et fire-lags bounty-program, hvor det betaler $ 200 for en lavrisikosag, $ 2.000 for et mellemniveau-problem og op til $ 50.000 for kritiske fejl.

Ifølge Coinbases HackerOne-profil omfatter en kritisk virkningsudnyttelse en situation, hvor angribere “kan læse eller ændre følsomme data i et system, udføre vilkårlig kode på systemet eller exfiltrere digital eller fiat-valuta på en eller anden måde.”

Relateret: Monero-rapporter om løsning af falske XMR Minting Bugs en måned efter rettelse

Virksomheden fastlagde også sine retningslinjer for vurdering af problemer med lav indvirkning: “Angribere kan få små mængder uautoriseret information med lav følsomhed, der påvirker en delmængde af brugere, eller lidt nøjagtighed og systemets ydeevne.”

Med hensyn til løsning af rapporterede problemer har virksomheden en historie med at være langsom ved optagelsen. Efter at et hollandsk firma opdagede en fejl i smart-kontrakt, der tillod brugere at stjæle “så meget som de vil” i Ethereum (ETH), tog Coinbase angiveligt en måned på at ordne det. Coinbase betalte en belønning på $ 10.000 til virksomheden bag opdagelsen.

Tron kommer på tredjepladsen

Tron Foundation, der står bag TRX-mønten, var den tredjestørste udbyder på bugpræmier, i alt 78.800 $ i 15 rapporter. Fra nu af har virksomheden betalt i alt 85.400 dollars i bounties, hvor den højeste på $ 10.000 går til HackerOne-bruger nu11pe for en uoplyst rapport.

Virksomhedens bounty-program betaler $ 100 for en sårbarhed med lav risiko, $ 3.000 for mellemrisiko, $ 6.000 for højrisiko og op til $ 10.000 for kritiske problemer. Trons HackerOne-profil beskriver kritiske fejl som “bugs, der kan tage kontrol over java-tron noder ved fjernudførelse af enhver kode”, såvel som dem, der kan forårsage lækage af private nøgler.

I maj afslørede virksomheden en kritisk sårbarhed, der kunne have bragt sin blockchain ned. Meddelelsen om HackerOne siger, at en angriber kunne have opslugt al tilgængelig hukommelse, selvom en distribueret denial of service eller DDoS angreb på TRX-netværket ved at implementere ondsindet kode i en smart kontrakt.

Virksomheden tilføjede, at en person kunne udføre DDoS-angrebet ved hjælp af en enkelt maskine til at angribe hele eller 51% af seniornoden og derved gøre netværket ubrugeligt. Selvom fejlen blev rapporteret den 14. januar, blev den kun offentliggjort, efter at den allerede var blevet rettet. Forskeren bag sårbarheden blev tildelt $ 1.500.

Bug bounties er ikke et perfekt system

Mens bug bounty-programmer helt klart skaber et sundt miljø, hvor virksomheder belønner etiske hacks på deres systemer, er konceptet ikke uden kritikere. Senest kritiserede den fremtrædende kryptofigur Dovey Wan Telegrams beslutning om at åbne udvikling for sin smarte kontrakt. Wan syntes at være kritisere begivenheden som et eksempel på, at virksomheden ikke geninvesterede i sine softwareudviklingsprocesser og sagde:

”Beklager, men et projekt, der er samlet over en milliard, med over 500 mm brugere, kan ikke engang ordentligt oprette en rimelig block explorer? Jeg er i tvivl om, hvad der er det prioriterede niveau for dette TON-netværk inden for Telegrams team, og hvordan de vil bruge deres mega skat på kryptorelaterede ting. ”

Luta Security CEO Katie Moussouris fortalte Cointelegraph, at selvom bug bounties er effektive til at påpege vigtige smuthuller i eksisterende sikkerhedsstrukturer, er de ingen erstatning for at have en dedikeret sikkerhedsproces på plads:

”Virksomheder kan ikke bruge bug bounties som et billigt alternativ til due diligence i sikkerhed. Simpelthen at bede fremmede om at påpege mangler uden at have kapacitet til at rette dem er en måde at overbruge bugpræmier hurtigt kan overvælde organisationer. ”

Vranken skitserede sin opfattelse over for Cointelegraph, at baseret på hans erfaring som forsker, angiver et kryptoselskab med et bug-bounty-program, at virksomheden kan stole på:

”Jeg ville hurtigere stole på et kryptokurrencyprojekt, der har et korrekt fungerende bounty-program på plads, end et, der ikke gør det. Denne holdning er formet af min erfaring som forsker og min bevidsthed om, at selv udbredt software ikke nødvendigvis er undergravet af seriøs kontrol af dens kode uden et ordentligt incitament. ”

Vranken fortsatte med at tilføje, at det er ekstremt vanskeligt at opbygge software uden bugs, uanset niveauet for talent eller beløb, der er fremlagt:

“Hvis ikke andet, opretter et bug-bounty-program en formel kanal til rapportering af bugs og signalerer manglende fjendtlighed over for forskere ved at svare at værdsætte deres arbejde (gennem økonomisk kompensation).”

Det nuværende bug-bounty-system er afhængigt af hackere, der handler ansvarligt, enten af ​​moralsk tilbøjelighed eller af de tilbudte belønninger. Selvom det kan synes muligt, at hackere kan holde ud for flere penge end annonceret i ordningen eller sælge detaljer om fejlen til konkurrenter, sagde Moussouris, at efterspørgslen efter sådan information ikke er så stor, som mange opfatter:

”Der er ikke uendelige bugkøbere, der venter på at købe op hver bug – det er en almindelig myte. Imidlertid er der sandsynligvis flere købere af bugs i kryptokurrency end i andre områder. Når det er sagt, hvis bugjægere prioriterer overskud, kan de meget vel vælge at udnytte snarere end at sælge de bugs, de finder i kryptokurrency, til mere direkte fortjeneste. ”

Selvom de belønninger, der annonceres af både kryptovaluta- og softwarevirksomheder rundt om i verden, kan give et indtryk af, at bug-bounty-jagt kan tilbyde en lukrativ karriere, er virkeligheden, at konkurrencen er høj, og adgangen ikke er jævnt opdelt. Moussouris forklarede til Cointelegraph, at de, der er inviteret til private bug-bounties, ofte har en konkurrencemæssig fordel:

”Det er normalt en masse arbejde, der ikke kompenseres, især hvis de typer bugs, som jægeren ved, hvordan man finder, er relativt almindelige klasser af bugs. Kun den første person, der rapporterer en bestemt sårbarhed, får betalt, så bug-bounty hunters, der er de mest succesrige, er ofte dem, der er inviteret til private bug-bounties med færre konkurrenter. ”

For Vranken er bugbounty-jagt en blandet pose, da belønningen ikke altid svarer til den tid, der er lagt i et projekt:

”Sammenlignet med kontraktmæssigt arbejde, der på forhånd foreskriver indsats og belønning, kan bugbounties være ophidsende (når du støder på en bunke af bugs, der bliver belønnet dybt) eller frustrerende (bruge meget tid på noget uden at opnå resultater eller modtage en lavere belønning end du havde forventet). ”

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map