Od 2010 r Google płaci ludziom za znajdowanie luk w zabezpieczeniach w kodzie największej platformy cyfrowej.
Ponieważ ten system ma miejsce, firma zapłaciła ponad 5 milionów dolarów tym, którzy poświęcili swój czas na ten cel.
Zobacz więcej
Beneficjenci z końcem NIS 7 otrzymują Bolsa Familia w tym…
Zysk FGTS został już ustalony i zostanie przekazany pracownikom…
Niedawno gigant wyszukiwania ogłosił zwiększenie nagród za opłatą maksymalnie 150 000 USD a inne wypłaty podwajają się lub potrajają.
Do tej pory zgłoszono 8500 zgłoszeń i wpłat, tzw nagrody za błędy. Płatności za te ekspozycje sumują się na ponad 5 milionów dolarów.
Program nagród za luki w zabezpieczeniach Chrome oferuje podwojenie nagród za „raporty dotyczące jakości” (od 15 000 do 30 000 USD). Kwota jest potrojona, gdy masz raport bazowy.
Raport jakościowy powinien zawierać zminimalizowany przypadek testowy, a także analizę, która odgrywa rolę określić przyczynę niepowodzenia, sugerowaną łatkę naprawczą i wersję demonstracyjną wskazującą potencjalny błąd wydarzyć się.
W podstawowych przypadkach raportowania należy przeprowadzić zminimalizowany test, aby problem można było wykorzystać.
Laurie Mercer, inżynier bezpieczeństwa w HackerOne, informuje o płatnościach Google, mówiąc, że są one bardzo dobrze zasobne.
„Nagroda dla uczestników, którzy mogą skompromitować Chromebooka lub Chromeboksa, jest obecnie jedną z najwyższych nagród na rynku” — powiedział.
Dodał, że zgłoszenie kwalifikującego się błędu do tej nagrody „zagwarantowałoby miejsce w prestiżowej Google Hall of Fame”.
Jednak w porównaniu do zerowy, firma zajmująca się bezpieczeństwem cyfrowym, znana jako najlepszy płatnik badaczy, którzy odkrywają luki przed samymi firmami, Google pozostawia wiele do życzenia. Firma zazwyczaj płaci nagrodę w wysokości 500 000 USD, o ile oferuje na przykład zdalne wykonanie kodu i lokalną eskalację uprawnień przeciwko Chrome.
Z drugiej strony na nielegalnych rynkach aukcje są przeprowadzane z powodu wad systemu firmy, przez co oferowane są wysokie ceny, czasem nawet wyższe niż opisywane tutaj nagrody. Jednak ten rodzaj działalności wiąże się z ryzykiem, ponieważ nie ma gwarancji prywatności i płatności. Nie mówiąc już o tym, że badacze ci nie mają możliwości prezentowania swoich prac na konferencjach.
Badacz bezpieczeństwa aplikacji, Sean Wright, ma kilka zastrzeżeń na ten temat:
„Jeśli chcesz pieniądze, sprzedasz Zerodium. Jeśli chcesz postępować etycznie, poinformuj o tym Google. Jeśli Google nie dorówna kwotom zapłaconym przez Zerodium, jest mało prawdopodobne, aby to się zmieniło”.
Google przyznaje również nagrody za znalezione „błędy” w „fuzzerach”. Jest to oprogramowanie służące do testowania parametrów różnych aplikacji. Jego funkcja opiera się na procesie wstawiania nieprawidłowych lub przypadkowych danych w celu załamania oprogramowania docelowego lub wycieku pamięci, aby mogło zostać wykorzystane przez atakującego. Fuzzery są częstym zjawiskiem w Google, a ci, którzy znajdą błędy, są nagradzani.
Dzięki Google możliwe jest utworzenie łańcucha exploitów i złamanie zabezpieczeń Chromebooka w trybie gościa. Natychmiastowe nagrody są dostępne na całym forum.
Program Google Play Security Bounty zwiększył kwotę wypłaty dla badaczy dzięki współpracy z HackerOne, platformą bezpieczeństwa dla hakerów. Jest to program, który nagradza również tych, którzy znajdują luki, tylko tym razem w popularnych aplikacjach. Wartość może sięgać nawet 20 000 USD.
Zobacz też:
