Hakkerien armeija voi tehdä salauksesta turvallisemman, mutta riittääkö se tekemään?

Viime vuosikymmenen aikana hakkeroinnista tuli vähitellen kunnioitettava ja mahdollisesti palkitseva ura virhepalautusten käyttöönoton ansiosta.

Vaikka jotkut organisaatiot, kuten Mozilla, julkaisivat virhepalautuksia aina vuonna 2004, merkittävä sysäys alalle tuli, kun Google ja Facebook esittivät vastaavia ohjelmia vuonna 2010 ja 2011. Pian sen jälkeen, vuosina 2011 ja 2012, alustat, kuten Bugcrowd ja HackerOne, kaupallistivat bug-palkkioita, jotta muiden yritysten olisi helpompi perustaa ne.

Virhepalkkio maksaa riippumattomille tutkijoille, jotka löytävät ja ilmoittavat haavoittuvuuksista, joilla voi olla turvallisuusvaikutuksia järjestelmään tai sen käyttäjiin. Yksi yleisimmistä haavoittuvuuksista on ns. Cross-Site Scripting (XSS) -hyökkäys, joka ruiskuttaa haitallista JavaScript-koodia käyttäjän selaimeen.

Koska JavaScript tunkeutuu verkkoon tänään, tätä hyökkäystä voidaan käyttää kaappaamaan olennaisesti uhrin tili, ja Google maksaa jopa 7500 dollaria tähän luokkaan vikoja.

Miksi bugipalkinnot ovat hyödyllisiä?

Turvallisuustarkastukset ja koodien tarkistukset ovat rajallisia sekä ajallisesti että valvontaa tarjoavien silmien lukumäärässä. Vaikka ne ovat hyödyllisiä poimimaan alhaisin riippuva hedelmä ennen ohjelmistojen julkaisemista yleisölle, jotkut vakavimmista virheistä voivat johtua monien hienovaraisten suunnitteluvirheiden koostumuksesta.

Tuoreena esimerkkinä tästä riippumaton tutkija löysi ProgPoW-algoritmissa suuren virheen monista aikaisemmista tarkastuksista huolimatta.

Viimeaikaiset hajautetun rahoituksen tai DeFi-hakkerit osoittavat näiden järjestelmien monimutkaisuuden. Ensimmäisessä bZX-hakkeroinnissa hyödyntämisen ydin oli hienovarainen epäonnistuminen bZX-älykkäiden sopimusten asianmukaisen vakuuden tarkistamisessa – mutta pikalainat ja muut alustat tarjosivat tarvittavat työkalut rahan hankkimiseksi tämän virheen kautta.

Googlen ohjelma osoittaa helposti, että turvallisen koodin vapauttaminen alusta on melkein mahdotonta. Sen haavoittuvuuspalkinto-ohjelma lähetetty ennennäkemätön ennätys 6 miljoonan dollarin voitoista vuonna 2019 – yhdeksän vuotta julkaisun jälkeen. Tuona aikana yrityksellä oli kaikki työkalut sisäisten turvallisuuskäytäntöjensä täydentämiseen, mutta sen järjestelmien monimutkaisuus näyttää olleen tehnyt siitä kaiken mahdottomaksi.

Virhepalautuksia salauksessa

Monet salausyritykset ja -projektit tarjoavat runsaasti palkintoja kriittisistä virheistä. DeFi-projektit Maker, Compound ja Aave ovat enintään 100 000 dollaria, 150 000 dollaria ja 250 000 dollaria.

Suuret pörssit, kuten Kraken, Coinbase ja Binance, tarjoavat myös vikapalkkio-ohjelmia. Krakenilla ei ole nimenomaista maksimia, kun taas Coinbase ja Binance ylittävät $ 50,000 ja $ 10,000. Kaikki suuret vaihdot eivät käynnistäneet tällaisia ​​ohjelmia – etenkään Huobi ja Bitstamp.

On syytä huomata, että ilmoitettu enimmäisvoitto ei välttämättä tee ohjelmaa houkuttelevammaksi, koska maksetut summat ovat melkein aina yrityksen harkinnan varassa.

458 raportista toimitettu Coinbaselle suurin voitto oli vain 20000 dollaria, kun taas keskiarvo on vain 200 dollaria. Tämä johtuu todennäköisesti vikojen vähäisyydestä, mutta nämä tilastot ovat tärkeitä signaaleja tutkijoille, joiden on päätettävä foorumi keskittymään. Jotkut korkeimmista Hacker Onen keskimääräisistä maksuista ovat saatavissa Monolithilta, Tronilta (TRX) ja Maticilta, vaikka jälkimmäinen aloitti vasta vikapalkkio-ohjelmansa.

Voi bug palkkioita tallentaa projekteja?

Salausinfrastruktuuri on ihanteellinen kohde hakkereille käteisen kaltaisten ominaisuuksiensa vuoksi, koska digitaalisen rahan varastaminen pankista on paljon vaikeampaa.

“Menestystarinoiden” hakkerointi, kuten Coincheck, jossa 500 miljoonan dollarin hakkeroinnin tekijöitä ei saatu kiinni yli kahden vuoden kuluttua, voi houkutella “mustaa hattua” tai täysin haitallisia hakkereita enemmän kuin muita teollisuudenaloja..

Vaihtoturvallisuuden sijoituksen mukaan julkaistu kirjoittanut Hacken vuonna 2019, 82% kaikista vaihtoista puuttuu lainkaan vikapalkkio-ohjelmia. Niistä, jotka tekevät, ja jotka ovat listalla korkealla, vain Binance kärsi suuresta hyökkäyksestä vuonna 2019.

On kummallista, että sekä bZX: llä että dForcella oli virhepalkkio-ohjelmia käytössä ennen tapahtumiaan – mutta heillä oli huomattavia varoituksia.

bZX: t ohjelmoida oli vain 5000 dollarin enimmäismaksu, ja tutkijoiden oli ehdottomasti vaadittava henkilöllisyyden todistamista ennen palkkion keräämistä. Vaikuttaa myös siltä, ​​että se julkaistiin vain Medium-viestissä. Tapahtuman jälkeen projekti oikaistu kaikki edellä mainitut asiat.

DForcen ohjelmoida edellytti myös asiakirjojen toimittamista, ja vaikka sen suurin voitto oli merkittävä 50 000 dollaria, se kattoi vain USDx-stablecoin-järjestelmän – ei Lendf.me-alustaa, joka päätyi hakkeroimaan.

Vaikka yritykset ovat velvollisia pidättämään maksuja seuraamuksista kärsivillä alueilla asuville tutkijoille, hyvin harvat onnistuneet ohjelmat vaativat täydellisen henkilöllisyystarkastuksen saadakseen rahaa. Virheenmetsästäjän näkökulmasta henkilöllisyystodistusten lähettämisestä voi tulla Damocles-miekka usein johtuen oikeudelliset kostotoimet täysin laillisia hakkereita vastaan ​​- mikä estää heitä hakemasta.

Kaiken edellä esitetyn perusteella näyttää siltä, ​​että oikeudenmukaisen vikapalkkio-ohjelman ja katastrofaalisten hakkerointien välillä on merkittävä korrelaatio.

Kuitenkin keskustelussa Cointelegraphin kanssa arvostettu turvallisuustutkija Egor Homakov varoitti projektien “häpeästä”:

“Palkintoja ei pitäisi pakottaa mihinkään projektiin, ja kiinnostuksen tulisi tulla sisältä. Jokaisessa projektissa on jo oletusarvoisesti palkkio-ohjelma, vain palkkiot ovat [$] 0. Mielestäni ihmisten ei pidä häpeä ohjelmia suuremmista summista. Nämä markkinat itse säätelevät täydellisesti eivätkä tarvitse enempää tutkimuksen raivoa / vaatimuksia. “

Joidenkin hakkeroitujen yritysten tapaustilanteista päätellen voi jo tapahtua luonnollinen valinta parempiin vikapaljoihin.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map