버그 바운티 프로그램

Bug bounty program

버그 바운티 프로그램은 많은 웹사이트, 조직 및 소프트웨어 개발자가 제공하는 거래로, 개인이 버그, 특히 보안 공격 및 취약성과 관련된 버그에 대한 인식과 보상을[1][2] 받을 수 있습니다.

이러한 프로그램을 통해 개발자는 일반 대중이 버그를 인지하기 전에 버그를 발견하고 해결할 수 있어 광범위한 남용 사고를 방지할 수 있습니다.버그 바운티 프로그램은, [3][4]Mozilla,[5] Facebook,[6] Yahoo!,[7] Google, Reddit,[8][9] Square,[10][11] Microsoft, 및 인터넷 [12]버그 바운티티를 포함한 많은 조직에 의해서 실장되고 있습니다.

전통적으로 미국 국방부와 같은 보수적인 조직을 포함한 기술 산업 외부의 기업들은 버그 바운티 [13]프로그램을 사용하기 시작했다.펜타곤의 버그바운티 프로그램 사용은 몇몇 미국 정부기관이 화이트햇 해커들을 법적 의지력으로 위협하던 것에서 포괄적인 취약성 노출 프레임워크 또는 [14]정책의 일환으로 참여하도록 초청하는 쪽으로 방향을 바꾼 태세 전환의 일환이다.

역사

Hunter and Ready는 1983년에 Versatile Real-Time Executive 운영체제를 위한 최초의 알려진 버그 보상 프로그램을 시작했습니다.버그를 발견하여 신고한 사람은 [15]그 대가로 폭스바겐 비틀(a.k.a.Bug)을 받게 될 것이다.

10여 년 뒤인 1995년 Netscape Communications Corporation의 기술 지원 엔지니어 Jarrett Ridlinghafer가 'Bug Bounty'[16]라는 문구를 만들었다.

넷스케이프는 직원들에게 일을 완수하기 위해 필요한 모든 것을 하고 스스로를 밀어붙이도록 격려했다.Ridlinghafer는 Netscape에 많은 제품 애호가들과 에반젤리스트들이 있다는 것을 인식했는데, 그들 중 일부는 Netscape의 브라우저에 대한 광신적인 것으로 여겨질 수도 있다.그는 이 현상을 좀 더 자세히 조사하기 시작했고, Netscape의 많은 열성팬들이 실제로 제품의 버그를 스스로 수정하고 수정사항이나 회피책을 Netscape의 기술 지원 부서에 의해 설립된 온라인 뉴스 포럼이나 비공식적인 "Nets"에 게시하는 소프트웨어 엔지니어들이라는 것을 발견했다.브라우저의 알려진 모든 버그와 기능, 해결 방법 및 수정 지침을 나열한 "Cape U-FAQ" 웹 사이트입니다.

Ridlinghafer는 이러한 자원을 활용해야 한다고 생각하여 'Netscape Bugs Bounty Program'을 제안하였고, 매니저는 이를 다음 회사 경영진 회의에서 제시하도록 제안하였습니다.James Barksdale, Marc Andreessen 및 제품 엔지니어링을 포함한 각 부서의 VP가 참석한 다음 경영진 회의에서 각 구성원은 'Netscape Bugs Bounty Program' 제안서의 사본을 받았고 Ridlinghafer는 Netscape Executive Team에 아이디어를 발표하도록 초대받았습니다.미팅에서 엔지니어링 부사장을 제외한 모든 사람들은 이 아이디어를 받아들였습니다. 그는 이 제안이 시간과 자원의 낭비라고 믿고 계속 진행되기를 원치 않았습니다.그러나 엔지니어링 담당 부사장이 해임되고 Ridlinghafer는 제안서 실행에 필요한 초기 예산 5만달러가 할당되었습니다.

1995년 10월 10일 Netscape는 Netscape [17][18]Navigator 2.0 베타 브라우저를 위한 첫 번째 기술 버그 보상 프로그램을 시작했습니다.

취약성 노출 정책 논란

2013년 8월 팔레스타인의 한 컴퓨터 과학 학생은 누구나 임의의 페이스북 계정에 동영상을 올릴 수 있는 취약성을 보고했습니다.학생과 페이스북의 이메일 통신에 따르면 그는 페이스북의 버그 바운티 프로그램을 이용해 취약점을 보고하려 했으나 페이스북 엔지니어들에게 오해를 받았다.나중에 그는 마크 주커버그의 페이스북 프로필을 이용하여 그 취약성을 이용했고, 페이스북은 그에게 [19]현상금 지급을 거부했다.

보안 버그를 보고한 연구원들에게 지급된 페이스북 "White Hat" 직불 카드

페이스북은 보안 버그를 발견해 보고하는 연구원들에게 새로운 결함을 발견할 때마다 자금을 재충전할 수 있는 맞춤형 브랜드 '화이트햇' 직불카드를 발급해 주기 시작했다.라이언 맥기한 전 페이스북 보안대응팀 매니저는 씨넷과의 인터뷰에서 "연구원들이 버그와 보안 개선을 발견하는 것은 드문 일이며 우리는 버그를 소중하게 여기며 이를 보상할 방법을 찾아야 한다"고 말했다."이 전용 블랙카드를 가지고 있는 것도 그들을 알아볼 수 있는 또 다른 방법입니다.2014년 페이스북은 연구원들에게 직불카드 발급을 중단했다.[20]

2016년, Uber는 개인이 전 세계 Uber 사용자 5700만 명의 개인정보에 액세스하는 보안 사고를 겪었다.개인은 자료를 공개하기 보다는 파괴하기 위해 10만 달러의 몸값을 요구했다고 한다.의회 증언에서 Uber CISO는 회사가 10만 [21]달러를 지불하기 전에 데이터가 파괴되었음을 확인했다고 밝혔다.플린 씨는 우버가 2016년에 이 사건을 공개하지 않은 것에 대해 유감을 표명했다.이 사건에 대한 대응의 일환으로 Uber는 파트너인 HackerOne과 협력하여 버그 보상 프로그램 정책을 업데이트하여 무엇보다도 선의의 취약성 조사 및 [22]공개에 대해 자세히 설명했습니다.

야후는 야후를 내보낸 것에 대해 혹독한 비판을 받았다.Yahoo!의 보안 취약점을 발견하고 보고한 보안 연구소에 대한 보상으로서 티셔츠가 등장하여 이른바 티셔츠 [23]게이트로 불리게 되었다.스위스 제네바에 본부를 둔 보안 테스트 회사인 하이테크 브릿지는 보도 자료를 내고 야후가 자사의 매장에서 티셔츠, 컵, 펜과 같은 야후 브랜드 제품에 사용할 수 있는 취약점 당 12.50달러의 신용을 제공했다고 밝혔다.야후의 보안팀 책임자인 람세스 마르티네즈는 나중에 블로그[24] 투고를 통해 바우처 보상 프로그램의 배후에 자신이 있으며 기본적으로 자신의 돈으로 보상 프로그램을 지불했다고 주장했다.결국, 야후는 같은 해 10월 31일 [25]발견된 버그의 심각도에 따라 보안 연구원들이 버그를 제출하고 $250에서 $15,000 사이의 보상을 받을 수 있는 새로운 버그 보상 프로그램을 시작했습니다.

마찬가지로,[26][27] Ecava가 2013년에 ICS를 위한 최초의 버그 바운티 프로그램을 발표했을 때, 그들은 보안 [28]연구자들에게 인센티브를 주지 않는 현금 대신 스토어 크레딧을 제공했다는 비판을 받았다.Ecava는 이 프로그램이 처음에는 제한적이고 ICS [26][27]소프트웨어인 IntegraXor SCADA 사용자의 안전 관점에 초점을 맞추고 있다고 설명했다.

지리

비록 많은 나라에서 곤충 현상금을 제출했지만, 소수의 국가들은 더 많은 곤충을 제출하고 더 많은 현상금을 받는 경향이 있다.미국인도는 연구자들이 [29]버그를 제출하는 상위 국가들이다.보고서에 따라 세계 [30]1위 또는 2위의 버그 헌터를 보유한 인도는 페이스북 버그 바운티 프로그램에서 유효한 버그가 가장 [31]많은 1위를 차지했다.페이스북은 [32]게시물에서 "인도가 2017년 유효한 제출 건수에서 1위를 차지했고 미국과 트리니다드&토바고가 각각 2위와 3위를 차지했다"고 인용했다.

주목할 만한 프로그램

2013년 10월, Google은 취약성 보상 프로그램에 대한 대대적인 변경을 발표했습니다.이전에는 많은 구글 제품을 다루는 버그 바운티 프로그램이었다.그러나 이러한 변화에 따라 프로그램은 고위험 자유 소프트웨어 애플리케이션 및 라이브러리, 주로 네트워킹 또는 낮은 수준의 운영 체제 기능을 위해 설계된 애플리케이션 및 라이브러리를 포함하도록 확장되었습니다.구글이 가이드라인을 준수한다고 판단한 제출물은 500달러에서 3,133달러 [33][34]70센트의 보상을 받을 수 있다.2017년 구글은 서드파티에 의해 개발된 어플리케이션에서 발견된 취약점을 커버하기 위해 프로그램을 확장하여 구글 [35]플레이 스토어를 통해 제공하였다.Google의 Vulnerability Rewards Program은 현재 Google, Google Cloud, Android 및 Chrome 제품에서 발견된 취약점을 포함하며 최대 31,[36]337달러의 보상을 제공합니다.

Microsoft와 Facebook은 2013년 11월에 제휴를 맺고 인터넷 버그 바운티(The Internet Bug Bounty)를 후원하고 있습니다.이 프로그램은 광범위한 인터넷 관련 [37]소프트웨어에 대한 해킹 및 악용 신고에 대한 보상을 제공하는 프로그램입니다.2017년 깃허브포드 재단은 Uber, Microsoft, Facebook, Adobe, HackerOne, GitHub, NCC Group, Signal [38]Sciences를 포함한 자원봉사자들에 의해 운영되는 이니셔티브를 후원했다.IBB가 다루는 소프트웨어는 Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server 및 Fabricator포함합니다.또한, 이 프로그램은 인터넷 [39]전체뿐만 아니라 널리 사용되는 운영 체제와 웹 브라우저에 영향을 미치는 광범위한 악용에 대한 보상을 제공했습니다.

2016년 3월, 피터 쿡은 미국 연방 정부의 첫 벌레 보상 프로그램인 "해크 더 펜타곤"[40] 프로그램을 발표했습니다.이 프로그램은 4월 18일부터 5월 12일까지 진행되었으며 1,400명 이상의 사람들이 해커원을 통해 138개의 독특한 유효한 보고서를 제출했다.미국 국방부는 총 71,[41]200달러를 지불했다.

2019년 유럽위원회는 Drupal, Apache Tomcat, VLC, 7-zip KeePass를 포함인기 오픈 소스 프로젝트를 위한 EU-FOSSA 2 버그 바운티 이니셔티브를 발표했다.이 프로젝트는 유럽의 버그 바운티 플랫폼인 Intigriti와 HackerOne에 의해 공동으로 실시되어 총 195개의 고유하고 유효한 [42]취약성이 발생하였습니다.

Open Bug Bounty는 2014년에 설립된 군중 보안 버그 바운티 프로그램으로, 피해를 입은 웹사이트 운영자의 보상을 바라며 웹사이트 및 웹 애플리케이션 보안 취약점을 게시할 수 있습니다.

2021년 12월 8일 카자흐스탄의 사이버 보안 회사인 사이버 공격 분석 및 조사 센터(TARSKA)는 국가 취약점 보상 프로그램인 BugBounty.kz를 시작했습니다.민간 기업 중에는 정부 정보 시스템과 정보 자원이 이 프로그램에 참여했다.출시 이후 2021년 10월 28일까지 1039건의 취약성 보고서가 제출되었습니다.프로그램 운영 중 중요한 인프라에서 개인 데이터 유출 및 도시 생활 지원을 담당하는 SCADA 시스템의 조작 가능성으로 이어질 수 있는 몇 가지 심각한 취약성이 보고되었다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "The Hacker-Powered Security Report - Who are Hackers and Why Do They Hack p. 23" (PDF). HackerOne. 2017. Retrieved June 5, 2018.
  2. ^ Ding, Aaron Yi; De Jesus, Gianluca Limon; Janssen, Marijn (2019). "Ethical hacking for boosting IoT vulnerability management: a first look into bug bounty programs and responsible disclosure". Proceedings of the Eighth International Conference on Telecommunications and Remote Sensing - ICTRS '19. Ictrs '19. Rhodes, Greece: ACM Press: 49–55. arXiv:1909.11166. doi:10.1145/3357767.3357774. ISBN 978-1-4503-7669-3. S2CID 202676146.
  3. ^ "Mozilla Security Bug Bounty Program". Mozilla. Retrieved July 9, 2017.
  4. ^ Kovacs, Eduard (May 12, 2017). "Mozilla Revamps Bug Bounty Program". SecurityWeek. Retrieved August 3, 2017.
  5. ^ Facebook Security (April 26, 2014). "Facebook WhiteHat". Facebook. Retrieved March 11, 2014. {{cite web}}: author=범용명(도움말)이 있습니다.
  6. ^ "Yahoo! Bug Bounty Program". HackerOne. Retrieved March 11, 2014.
  7. ^ "Vulnerability Assessment Reward Program". Retrieved March 11, 2014.
  8. ^ "Reddit - whitehat". Reddit. Retrieved May 30, 2015.
  9. ^ "Square bug bounty program". HackerOne. Retrieved August 6, 2014.
  10. ^ "Microsoft Bounty Programs". Microsoft Bounty Programs. Security TechCenter. Archived from the original on November 21, 2013. Retrieved September 2, 2016.
  11. ^ Zimmerman, Steven (July 26, 2017). "Microsoft Announces Windows Bug Bounty Program and Extension of Hyper-V Bounty Program". XDA Developers. Retrieved August 3, 2017.
  12. ^ HackerOne. "Bug Bounties - Open Source Bug Bounty Programs". Retrieved March 23, 2020.
  13. ^ "The Pentagon Opened up to Hackers - And Fixed Thousands of Bugs". Wired. November 10, 2017. Retrieved May 25, 2018.
  14. ^ "A Framework for a Vulnerability Disclosure Program for Online Systems". Cybersecurity Unit, Computer Crime & Intellectual Property Section Criminal Division U.S. Department of Justice. July 2017. Retrieved May 25, 2018.
  15. ^ "The first "bug" bounty program". Twitter. July 8, 2017. Retrieved June 5, 2018.
  16. ^ Friis-Jensen, Esben (March 3, 2021). "The History of Bug Bounty Programs". Medium. Retrieved August 6, 2021.
  17. ^ "Netscape announces Netscape Bugs Bounty with release of netscape navigator 2.0". Internet Archive. Archived from the original on May 1, 1997. Retrieved January 21, 2015.
  18. ^ "Cobalt Application Security Platform". Cobalt. Retrieved July 30, 2016.
  19. ^ "Zuckerberg's Facebook page hacked to prove security flaw". CNN. August 20, 2013. Retrieved November 17, 2019.
  20. ^ Mills, Elinor. "Facebook whitehat Debit card". CNET.
  21. ^ "Testimony of John Flynn, Chief Information Security Officer, Uber Technologies, Inc" (PDF). United States Senate. February 6, 2018. Retrieved June 4, 2018.
  22. ^ "Uber Tightens Bug Bounty Extortion Policy". Threat Post. April 27, 2018. Retrieved June 4, 2018.
  23. ^ Osborne, Charlie. "Yahoo changes bug bounty policy following 't-shirt gate'". ZDNet.
  24. ^ Martinez, Ramses. "So I'm the guy who sent the t-shirt out as a thank you". Yahoo Developer Network. Retrieved October 2, 2013.
  25. ^ Martinez, Ramses. "The Bug Bounty Program is Now Live". Yahoo Developer Network. Retrieved October 31, 2013.
  26. ^ a b Toecker, Michael (July 23, 2013). "More on IntegraXor's Bug Bounty Program". Digital Bond. Retrieved May 21, 2019.
  27. ^ a b Ragan, Steve (July 18, 2013). "SCADA vendor faces public backlash over bug bounty program". CSO. Retrieved May 21, 2019.
  28. ^ Rashi, Fahmida Y. (July 16, 2013). "SCADA Vendor Bashed Over 'Pathetic' Bug Bounty Program". Security Week. Retrieved May 21, 2019.
  29. ^ "The 2019 Hacker Report" (PDF). HackerOne. Retrieved March 23, 2020.
  30. ^ "Bug hunters aplenty but respect scarce for white hat hackers in India". Factor Daily. February 8, 2018. Retrieved June 4, 2018.
  31. ^ "Facebook Bug Bounty 2017 Highlights: $880,000 Paid to Researchers". Facebook. January 11, 2018. Retrieved June 4, 2018.
  32. ^ "Facebook Bug Bounty 2017 Highlights: $880,000 Paid to Researchers". Facebook. January 11, 2018. Retrieved June 4, 2018.
  33. ^ Goodin, Dan (October 9, 2013). "Google offers "leet" cash prizes for updates to Linux and other OS software". Ars Technica. Retrieved March 11, 2014.
  34. ^ Zalewski, Michal (October 9, 2013). "Going beyond vulnerability rewards". Google Online Security Blog. Retrieved March 11, 2014.
  35. ^ "Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play". The Verge. October 22, 2017. Retrieved June 4, 2018.
  36. ^ "Vulnerability Assessment Reward Program". Retrieved March 23, 2020.
  37. ^ Goodin, Dan (November 6, 2013). "Now there's a bug bounty program for the whole Internet". Ars Technica. Retrieved March 11, 2014.
  38. ^ "Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure". VentureBeat. July 21, 2017. Retrieved June 4, 2018.
  39. ^ "The Internet Bug Bounty". HackerOne. Retrieved March 11, 2014.
  40. ^ "DoD Invites Vetted Specialists to 'Hack' the Pentagon". U.S. DEPARTMENT OF DEFENSE. Retrieved June 21, 2016.
  41. ^ "Vulnerability disclosure for Hack the Pentagon". HackerOne. Retrieved June 21, 2016.
  42. ^ "EU-FOSSA 2 - Bug Bounties Summary" (PDF).{{cite web}}: CS1 maint :url-status (링크)