Bug Bounty
Bug Bounty – программа поощрений специалистов за тестирование компьютерных программ на присутствие ошибок и уязвимостей. Участники Bug Bounty, по-другому – «белые хакеры», получают денежное вознаграждение за поиск уязвимостей. Размер выплаты исчисляется в зависимости от того, насколько серьёзная ошибка найдена в программе.
История возникновения
Джарретт Ридлинхафер, работая в Netscape Communications Corporation, предложил создать программу вознаграждений энтузиастов и IT-специалистов за выявление различных багов и уязвимостей в проектах. В корпорации его концепцию поддержали и выделили денежные средства в размере $50 тысяч на её разработку и запуск. Ранняя программа была публично начата в 1995 году и имела огромный успех.
В России первая Bug Bounty запустилась в 2012 году компанией «Яндекс». Следующая – в 2013 году компанией VK. К 2020 году в России появилось множество открытых ресурсов Bug Bounty.
Функционирование Bug Bounty
Существует два способа работы по этой системе: внутренний и платформенный.
Внутренний способ
Внутренний заключается в том, что компания, нуждающаяся в выявлении ошибок в своём продукте, публикует на своём официальном сайте информацию о начале программы Bug Bounty. Желающие хакеры работают над программой. В случае, если они находят ошибку – заполняют подробный отчёт. Компания изучает отчёт, устраняет ошибку. И после повторной проверки (устранен ли баг) выплачивает вознаграждение хакеру. Этот способ часто используется большими корпорациями.
Платформенный способ
Компания регистрируется на специальной платформе Bug Bounty, подаёт заявку, в которой описывает свой продукт, цели, условия, сумму вознаграждения за нахождение багов. Затем объявление публикуется. Исследователи (багхантеры) регистрируются на платформе, проходят верификацию и начинают работать над задачей. В случае выявления уязвимостей они так же, как и при внутреннем способе отправляют отчёт о работе и найденных ошибках в программе. Компания-заказчик, получив информацию о поступивших отчётах, всё проверяет/тестирует/устраняет баги, снова проверяет. На основе серьёзности выявленной ошибки определяется размер вознаграждения и выплачивается багхантеру.
Bug Bounty в блокчейне TON
В блокчейне TON (The Open Network) имеется множество различных программ Bug Bounty. Большинство из них представлено на сайте Github. Также имеется ресурс, на котором представлена информация непосредственно о системе грантов в экосистеме TON.
По состоянию на декабрь 2024 года имеется несколько активных программ Bug Bounty:
- STON.fi Bug Bounty программа. Её фонд составляет 200 000 TON. На сайте имеется информация о вознаграждениях. Например, за среднюю уязвимость вознаграждение составляет 1000 TON, за высокую – 2000 TON, а за критическую – до 20000 TON. Более подробная информация о программе по проекту STON.fi находится здесь.
- Getgems Bug Bounty программа. Проходит в виде конкурса, в котором нужно с помощью тестирования в ручном режиме обнаружить существенные ошибки и уязвимости. Под «существенными» недостатками понимается ситуация, когда страдает главный функционал программы (невозможность произвести какие-либо действия в приложении, некорректная работа, неверное отображение информации). Для участия необходимо с помощью @toncontests_bot поделиться своей учётной записью Github и кошельком TON для выплаты вознаграждения в случае выигрыша. После перепроверки всех отчётов об ошибках и уязвимостях, из них выбираются 5 лучших. Участники, победившие в конкурсе, получают призы в TON. Размер призов –- до $500, в зависимости от того, насколько высоко оценён отчёт и насколько серьёзный баг был выявлен. Все подробности этой программы здесь.
- Программа HackenProof. Предназначена для тестирования безопасности смарт-контрактов и протоколов блокчейна. HackenProof сотрудничает с большинством крупнейших бирж и блокчейнов. Год назад HackenProof объявили о сотрудничестве с TON Foundation. Первыми в программе участвовали @TonDiamonds, @stonfidex и @evaaprotocol.
- Также TON Foundation запустил программу вознаграждений за нахождение ошибок в системе. Сумма награды – от $150 до $5000. Все условия программы и необходимая документация тут.
Кто может участвовать в Bug Bounty?
Для работы в этой сфере необходимо иметь множество навыков:
- Обязательно знать английский язык (для ознакомления с информацией, чтения документации и её расшифровки);
- Обладать навыками программирования (знать языки программирования Python, JavaScript и т.д.);
- Также необходимо разбираться в законодательстве о кибербезопасности;
- Разбираться в специальных программах, которые могут пригодиться при работе с обнаружением уязвимостей;
- Знать, что такое веб-разработка, что такое сетевые протоколы и какие они бывают, уметь работать с базами данных и т. д.;
- Уметь логически мыслить и производить анализ данных. Это необходимо для правильной организации своей работы и интерпретации полученного в процессе результата;
- Навыки документирования и общения.
Существуют курсы для обучения необходимым навыкам «багхантера». Например, Awesome Ethical Hacking Resources. Здесь находится много полезной информации, а также ссылки на бесплатные курсы. Для применения полученных навыков на практике есть множество полезных образовательных ресурсов, таких как виртуальные лаборатории bWAPP, HTB, TryHackMe, DVWA, а также возможно поучаствовать в соревнованиях Capture the Flag (CTF).
Ссылки
- Bug Bounty
- Багхантеры
- HackenProof
- Белые хакеры
- Bug Bounty TON
- Принцип работы Bug Bounty
- Bug Bounty в блокчейне TON
- Официальный сайт Bug Bounty
- Информация о создании Bug Bounty
- Программа вознаграждений Ton Whales
- Недопустимые события при поиске уязвимостей
- Бот для регистрации в программе на блокчейне TON
- Гранты на TON – официальный сайт, подробная информация
- Информация для изучения навыков багхантера и ссылки на бесплатные курсы