Bug Bounties בקריפטו – הדרך הטובה ביותר להבטיח בטיחות בפלטפורמה?

חברות קריפטו מגלות לעיתים קרובות את הדרך הקשה בהאקרים מכירים את מערכות האבטחה שלהם טוב יותר מכפיהם. מכיוון שפריצות בעולם הקריפטו יכולות ולעיתים קרובות לגרום לגניבת אסימונים בשווי מאות מיליוני דולרים, גורל עתידה של החברה יכול לרוב לרכוב על צעדי האבטחה שלה. במאמץ להרפות את הצוהר, חברות מציעות שפע של באגים.

מענקים אלו הם למעשה תחרויות בהן מעודדים האקרים לנסות להתפשר על תוכנות. לאחר מכן ההאקרים מגישים דוח פגיעות לחברות המתאימות, כך שהם יוכלו לתקן את החרקים לפני שהם מנוצלים. כפרס, ההאקרים המצליחים מקבלים שכר.

מרבית החברות מציעות רווחים בסדר גודל מדומה, כאשר מחיר התגמול מתאים לחומרת הבאג. תגמולים מתחילים בסביבות 50 $ עד 100 $ עבור תיקונים ברמה נמוכה ובדרך כלל מוגבלים בסביבות 10,000 $ עבור באגים קריטיים. בכמה מקרים נדירים הוענקו להאקרים יותר.

קייטי מוסוריס, מייסדת ומנכ”לית Luta Security, שהשיקה הן את מיקרוסופט והן את הפרסים הראשונים של הפנטגון, הסבירה לקוינטלגרף כיצד ניתן להשתמש בתוכניות תגמול הבאגים:

“שפע שגיאות שימושי ויעיל ביותר כתוספת לפעילויות אבטחה יזומות המתמקדות במניעה ובגילוי פגיעות בארגונים תחילה. לאחר שארגונים קבעו שיטות אבטחה טובות, שפע של באגים יכול לעזור בזיהוי באגי אבטחה שארגונים החמיצו. אין זה מספיק שפע של באגים. “

לרוב החברות המפתחות תוכנה יש שפע של באגים. בעולם הקריפטו, הצורך בתוכניות כאלה חשוב באותה מידה, ללא קשר לגודל החברה. על פי א להגיש תלונה שנערך על ידי HackerOne, חברות שילמו 878,000 $ עבור שכר באגים בשנת 2018. גווידו ורנקן, חוקר הולנדי קיבלו תשלום של 120,000 דולר מ- EOS לאחר שגילה 12 באגים תוך שבעה ימים, אמר לקוינטלגרף כי ההימור גבוה עבור חברות קריפטו:

“עבור מטבע דיגיטלי עולמי ניתן לטעון הרבה יותר מאשר פרויקטים או אתרים רבים אחרים. גניבת נכסים היא הדוגמה המוחשית ביותר, אך בגלל הסינרגיה בין פרסום ושערי חליפין, הפסדים נטו עשויים לנבוע גם מפגיעות מתוקשרת. “

אחת מתמונות הבאגים האחרונות מגיעה מאפליקציית המסרים העולמית Telegram. הוכרזה בערוץ תחרויות הטלגרם שלה ב -24 בספטמבר, החברה קוראת למפתחים לנצל את בלוקצ’יין TON ולהגיש דוח פגיעות..

אם האקרים יוכלו לנצל באג בבלוקצ’יין TON במידה שהם מסוגלים לגנוב כספים מארנקו של משתמש אחר, טלגרם תשלם עד 200,000 $, סכום שתואם את הנושא הקריטי של אוגור. נְדִיבוּת כאחד התגמולים הגדולים בהיסטוריה של הצפנה. התחרות מתקיימת על רקע ההשקה המיוחלת של האסימון הדיגיטלי המקורי של טלגרם, גרם, בסוף אוקטובר.

EOS תופסת את המקום הראשון

למרות שמפתה לחשוב שחברות קטנות וחדשות יותר עשויות להיות הפעילות ביותר באספקת שפע של באגים, Block.one, החברה שעומדת מאחורי EOS, תפסה את המקום הראשון בשנת 2018 עבור תגמולי שפע עם 534,500 דולר, ומשלמת 60% מכלל הזכיות באותה שנה. , על פי דיווח.

על פי ה- EOS פּרוֹפִיל ב- HackerOne, החברה תשלם מקסימום 1,000 דולר עבור דוח בסיכון נמוך ומקסימום 10,000 דולר עבור דוח קריטי. הפרופיל מציין גם כי הסכום הסופי נקבע תמיד על פי שיקול דעתו של פאנל תגמולים, עם תגמולים גבוהים יותר הניתנים לפגיעות יוצאות דופן..

הנחיות למענקי EOS

בעקבות השקת תוכנית ה- Bounty EOS במאי 2018, Vranken הסביר כיצד החמירה החברה את גישתה לביטחון בעקבות תגליותיו:

“באגים שדווחו נותחו במהירות ותוקנו במאגר הציבורי שלהם. בהתחלה התהליך היה מאוד אד-הוק מכיוון ש- [EOS CTO] דניאל לרימר ואני שלחנו קבצים הלוך ושוב בטלגרם, אך מאז התחילו להריץ תוכנת Bounty bug על HackerOne שלדעתי היא האינטרס הטוב ביותר של גם מציאת הבאגים וגם צוות EOS. “

EOS המשיכה לשלם תגמולים להאקרים בשנת 2019, וחילקה עד כה שכר באגים עבור חמש נקודות תורפה קריטיות. ב- 10 בינואר העניקה EOS סכום כולל של 40,750 דולר לחמישה האקרים של כובעים לבנים באמצעות HackerOne, כאשר חוקר אחר קיבל סכום נוסף של 10,000 דולר..

Coinbase הוא המוציא השני בגודלו

אחת מחילופי המטבעות הקריפטוגרפיים הגדולים בעולם, Coinbase, היא המוציאה השנייה בגודלה למענקים רבים, והקצתה סכום כולל של 290,381 דולר בשנת 2018. החברה חוותה מספר בעיות בעלות פרופיל גבוה מאז חוות עלייה משמעותית של משתמשים באמצע 2017, וכתוצאה מכך עיכובים או חסרים כספים וכן הפסקות שירות.

החברה הוציאה תגמולים נוספים בסך 30,000 דולר בפברואר 2019 בגין דיווח על באג קריטי, לפי לתוכנית גילוי הפגיעות של Coinbase. באותה עת, הבאג זכה בפרס הגדול ביותר אי פעם בפלטפורמה, אם כי פרטי הבאג לא פורסמו ברבים. Coinbase מפעילה תוכנית שפע של ארבע שכבות בה היא תשלם 200 דולר עבור מקרה בסיכון נמוך, 2,000 דולר עבור הנפקת רמת ביניים ועד 50,000 דולר עבור באגים קריטיים..

על פי פרופיל HackerOne של Coinbase, ניצול השפעה קריטי כולל מצב בו התוקפים “יכולים לקרוא או לשנות נתונים רגישים במערכת, לבצע קוד שרירותי במערכת, או להפיל מטבע דיגיטלי או פיאט בדרך כלשהי.”

קשור: דיווחי מונרו על פתרון באגים מנטועים מזויפים של XMR חודש לאחר תיקון

החברה גם הגדירה את ההנחיות שלה להערכת נושאים בעלי השפעה נמוכה: “תוקפים יכולים להשיג כמויות קטנות של מידע לא מורשה, בעל רגישות נמוכה, המשפיע על קבוצת משתמשים, או על דיוק וביצועי מערכת מעטים.”

בכל הנוגע לתיקון הבעיות המדווחות, לחברה יש היסטוריה של איטיות בספיגה. לאחר שחברה הולנדית גילתה תקלה בחוזה חכם שאיפשרה למשתמשים לגנוב “כמה שהם רוצים” באת’ריום (ETH), לפי הדיווחים, Coinbase לקח חודש לתקן את זה. Coinbase שילם פרס בסך 10,000 דולר לחברה שעומדת מאחורי הגילוי.

טרון מגיע למקום השלישי

קרן טרון, העומדת מאחורי מטבע TRX, הייתה המוציאה השלישית בגודלה על שפע של באגים, והסתכמה ב -78,800 דולר תמורת 15 דוחות. נכון לעכשיו, החברה שילמה סכומי סכום של 85,400 דולר בסכום כולל של הגבוהים ביותר, בסך 10,000 דולר, והועברה למשתמש HackerOne nu11pe לצורך דיווח שלא פורסם..

תוכנית השפע של החברה תשלם 100 דולר עבור פגיעות בסיכון נמוך, 3,000 דולר עבור סיכון בינוני, 6,000 דולר עבור סיכון גבוה ועד 10,000 דולר עבור נושאים קריטיים. פרופיל HackerOne של טרון מתאר תקלות קריטיות כמו “באגים שיכולים להשתלט על צמתים java-tron על ידי ביצוע מרחוק של כל קוד”, כמו גם כאלה שיכולים לגרום לדליפת מפתח פרטי.

בחודש מאי חשפה החברה פגיעות קריטית שיכולה הייתה להפיל את הבלוקצ’יין שלה. ההודעה על HackerOne קובעת כי תוקף יכול היה לבלוע את כל הזיכרון הזמין אם כי מניעת שירות מבוזרת, או DDoS, תקפה את רשת TRX על ידי הטמעת קוד זדוני בחוזה חכם..

החברה הוסיפה כי אדם אחד יכול לבצע את התקפת DDoS באמצעות מכונה אחת כדי לתקוף את כל הצומת הבכיר או 51%, ובכך להפוך את הרשת לבלתי שמישה. למרות שדווח על הבאג ב -14 בינואר, הוא הוכרז בפומבי רק לאחר שתוקן כבר. החוקר שעומד מאחורי הפגיעות הוענק 1,500 דולר.

שפע באגים אינו מערכת מושלמת

בעוד שתוכניות שפע של באגים יוצרות בבירור סביבה בריאה בה חברות מתגמלות פריצות אתיות במערכותיהן, הרעיון אינו חף ממבקריו. לאחרונה, דמות הקריפטו הבולטת דובי וואן מתח ביקורת על החלטתה של טלגרם לפתוח את הפיתוח בחוזה החכם שלה. וואן נראה לְבַקֵר האירוע כדוגמה לכך שהחברה לא הצליחה להשקיע מחדש בתהליכי פיתוח התוכנה שלה, ואמרה:

“מצטער אבל פרויקט שגייס למעלה ממיליארד, עם יותר מ -500 מ”מ משתמשים לא יכולים אפילו להפוך כראוי לחוקר חסימות סביר? אני חייב לפקפק מהי רמת העדיפות של רשת ה- TON הזו בצוות של טלגרם וכיצד הם ישתמשו באוצר המגה שלהם על דברים שקשורים לקריפטו. ”

מנכ”לית לוטה ביטחון, קייטי מוסוריס, אמרה לקוינטלגרף כי אף על פי שפרסי שגיאות יעילים להצביע על פרצות חשובות במבני האבטחה הקיימים, הם אינם מהווים תחליף לביצוע תהליך אבטחה ייעודי:

“חברות לא יכולות להשתמש בשפע באגים כחלופה זולה לבדיקת נאותות באבטחה. פשוט לבקש מאנשים זרים להצביע על פגמים מבלי שיש להם יכולת לתקן אותם, דרך אחת לשימוש יתר בשפע באגים יכולה להכריע במהירות ארגונים. “

וראנקן התווה את השקפתו בפני קוינטלגרף כי בהתבסס על ניסיונו כחוקר, חברת קריפטו עם תוכנית שפע של באגים מעידה על כך שאפשר לסמוך על החברה:

“אני אמון מוקדם יותר על פרויקט קריפטוגרפי שמכיל תוכנית ראשים מתנהלת כראוי מאשר פרוייקט שלא. עמדה זו מעוצבת על ידי ניסיוני כחוקר ומודעותי לעובדה שאפילו תוכנות בשימוש נרחב אינן קשורות בהכרח לבדיקה רצינית של הקוד שלה ללא תמריץ ראוי. ”

וראנקן המשיך והוסיף כי קשה מאוד לבנות תוכנה ללא באגים, לא משנה רמת הכישרון או כמות הכסף שהועלו:

“אם לא דבר אחר, תוכנית שפע של באגים מקימה ערוץ רשמי לדיווח על באגים ומסמנת אי-עוינות כלפי החוקרים בכך שהיא נשבעת להעריך את עבודתם (באמצעות פיצוי כספי).”

מערכת השפע הנוכחית של באגים מסתמכת על האקרים שפועלים באחריות, מתוך נטייה מוסרית או על ידי התגמולים המוצעים. אמנם זה נראה אפשרי כי האקרים יוכלו להחזיק יותר כסף ממה שפורסם בתכנית או למכור פרטי פגם למתחרים, אך מוסוריס אמר כי הביקוש למידע כזה אינו גבוה כמו שרבים תופסים:

“אין רוכשי באגים אינסופיים שמחכים לקנות כל באג – זה מיתוס נפוץ. עם זאת, בקריפטוגרפיה יש ככל הנראה יותר קונים עבור באגים מאשר באזורים אחרים. עם זאת, אם ציידים באגים מעדיפים רווחים, יתכן מאוד שהם יבחרו לנצל במקום למכור את הבאגים שהם מוצאים בקריפטו, תמורת רווח ישיר יותר. ”

למרות שהתגמולים שמפרסמים הן חברות מטבעות קריפטו והן תוכנות ברחבי העולם עשויים ליצור את הרושם כי ציד שפע של באגים יכול להציע קריירה משתלמת, המציאות היא שהתחרות גבוהה והגישה אינה מחולקת באופן שווה. מוסוריס הסביר לקוינטלגרף כי לאלו המוזמנים לשפע פרסים גדולים יש יתרון תחרותי:

“בדרך כלל מדובר בעבודה רבה שעוברת ללא תמורה, במיוחד אם סוגי הבאגים שהצייד יודע למצוא הם סוגים נפוצים יחסית של באגים. רק האדם הראשון שמדווח על פגיעות מסוימת מקבל תשלום, ולכן ציידי באגינגים שהמצליחים ביותר נוטים להיות אלה שמוזמנים לשפע פרסים עם פחות מתחרים. “

עבור Vranken, ציד שפע של באגים הוא שקית מעורבת, מכיוון שהתמורה לא תמיד תואמת את הזמן שהושקע בפרויקט:

“בהשוואה לעבודה חוזית שקובעת מאמץ ותגמול מראש, שפע באגים יכול להיות מרומם נפש (כשאתה נתקל בשפע של באגים שמתגמלים עמוקות) או מתסכל (להשקיע זמן רב במשהו מבלי להשיג תוצאות, או לקבל נמוך יותר תגמול מכפי שציפית). “

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map