Bounties σφαλμάτων στο Crypto – ο καλύτερος τρόπος για να διασφαλιστεί η ασφάλεια της πλατφόρμας;

Οι εταιρείες Crypto ανακαλύπτουν συχνά τον σκληρό τρόπο που οι χάκερ γνωρίζουν καλύτερα τα συστήματά τους ασφαλείας από ό, τι. Καθώς οι παραβιάσεις στον κόσμο της κρυπτογράφησης μπορούν και συχνά έχουν ως αποτέλεσμα την κλοπή διακριτικών αξίας εκατοντάδων εκατομμυρίων δολαρίων, η τύχη του μέλλοντος μιας εταιρείας μπορεί συχνά να βασίζεται στα μέτρα ασφαλείας της. Σε μια προσπάθεια να μειώσει τις καταπακτές, οι εταιρείες προσφέρουν bounties bug.

Αυτά τα bounties είναι ουσιαστικά διαγωνισμοί στους οποίους οι χάκερ ενθαρρύνονται να προσπαθήσουν να θέσουν σε κίνδυνο το λογισμικό. Στη συνέχεια, οι χάκερ υποβάλλουν μια αναφορά ευπάθειας στις αντίστοιχες εταιρείες, ώστε να είναι σε θέση να διορθώσουν τα σφάλματα πριν από την εκμετάλλευσή τους. Ως επιβράβευση, οι επιτυχημένοι χάκερ πληρώνονται με ένα δώρο.

Οι περισσότερες εταιρείες προσφέρουν bounties σε κλιμακωτή κλίμακα, με την τιμή ανταμοιβής να αντιστοιχεί στη σοβαρότητα του σφάλματος. Τα χρήματα ξεκινούν από περίπου 50 $ έως 100 $ για διορθώσεις χαμηλού επιπέδου και συνήθως περιορίζονται στα 10.000 $ για κρίσιμα σφάλματα. Σε μερικές σπάνιες περιπτώσεις, οι χάκερ έχουν βραβευτεί περισσότερα.

Η Katie Moussouris, ιδρυτής και διευθύνων σύμβουλος της Luta Security, η οποία ξεκίνησε την πρώτη bug bounties της Microsoft και του Πενταγώνου, εξήγησε στην Cointelegraph πώς μπορούν να χρησιμοποιηθούν τα προγράμματα ανταμοιβής σφαλμάτων:

«Τα bounties bug είναι πιο χρήσιμα και αποτελεσματικά ως συμπλήρωμα σε προληπτικές δραστηριότητες ασφάλειας που εστιάζονται στην πρόληψη και τον εντοπισμό τρωτών σημείων εντός των οργανισμών πρώτα. Μόλις οι οργανισμοί έχουν καθιερώσει καλές πρακτικές ασφάλειας, οι bounties bug μπορούν να βοηθήσουν στον εντοπισμό σφαλμάτων ασφαλείας που έχασαν οι οργανισμοί. Τα bug bounties από μόνα τους δεν είναι αρκετά. “

Οι περισσότερες εταιρείες που αναπτύσσουν λογισμικό έχουν bug bounties. Στον κόσμο της κρυπτογράφησης, η ανάγκη για τέτοια προγράμματα είναι εξίσου σημαντική, ανεξάρτητα από το μέγεθος της εταιρείας. Σύμφωνα με ένα κανω ΑΝΑΦΟΡΑ διεξήχθη από την HackerOne, εταιρείες πλήρωσαν 878.000 $ σε bug bounties το 2018. Guido Vranken, ολλανδό ερευνητή που έλαβε μια πληρωμή 120.000 $ από την EOS μετά την ανακάλυψη 12 σφαλμάτων εντός επτά ημερών, δήλωσε στο Cointelegraph ότι τα μερίδια είναι υψηλά για τις εταιρείες κρυπτογράφησης:

“Για ένα παγκόσμιο ψηφιακό νόμισμα διακυβεύεται πολύ περισσότερα από πολλά άλλα έργα ή ιστότοπους. Η κλοπή περιουσιακών στοιχείων είναι το πιο απτό παράδειγμα, αλλά λόγω της συνέργειας μεταξύ δημοσιότητας και συναλλαγματικών ισοτιμιών, οι καθαρές απώλειες ενδέχεται επίσης να προκύψουν από μια ευρέως δημοσιευμένη ευπάθεια. “

Ένα από τα πιο πρόσφατα bug bounties προέρχεται από την παγκόσμια εφαρμογή ανταλλαγής μηνυμάτων Telegram. Ανακοινώθηκε στο κανάλι της στο Telegram Contests στις 24 Σεπτεμβρίου, η εταιρεία καλεί τους προγραμματιστές να εκμεταλλευτούν το μπλοκ TON και να υποβάλουν μια αναφορά ευπάθειας.

Εάν οι χάκερ μπορούν να εκμεταλλευτούν ένα σφάλμα στο μπλοκ TON στο βαθμό που είναι σε θέση να κλέψουν χρήματα από το πορτοφόλι άλλου χρήστη, το Telegram θα πληρώσει έως και 200.000 $, ποσό που αντιστοιχεί στο κρίσιμο ζήτημα του Augur γενναιοδωρία ως μία από τις μεγαλύτερες ανταμοιβές στην ιστορία της κρυπτογράφησης. Ο διαγωνισμός λαμβάνει χώρα με φόντο την πολυαναμενόμενη κυκλοφορία του εγγενούς ψηφιακού διακριτικού της Telegram, Gram, στα τέλη Οκτωβρίου.

Η EOS παίρνει την πρώτη θέση

Παρόλο που είναι δελεαστικό να πιστεύουμε ότι οι μικρότερες, νεότερες εταιρείες μπορεί να είναι οι πιο δραστήριες στην παροχή bug bounties, η Block.one, η εταιρεία πίσω από την EOS, πήρε την πρώτη θέση το 2018 για ανταμοιβές bounty με 534.500 $, καταβάλλοντας το 60% όλων των bounties εκείνο το έτος , σύμφωνα με μια έκθεση.

Σύμφωνα με την EOS Προφίλ στο HackerOne, η εταιρεία θα πληρώσει το πολύ 1.000 $ για μια αναφορά χαμηλού κινδύνου και ένα μέγιστο 10.000 $ για μια κριτική αναφορά. Το προφίλ σημειώνει επίσης ότι το τελικό ποσό αποφασίζεται πάντα κατά τη διακριτική ευχέρεια ενός πίνακα ανταμοιβών, με υψηλότερες ανταμοιβές που δίδονται σε εξαιρετικές ευπάθειες.

Οδηγίες γενναιοδωρίας EOS

Μετά την έναρξη του προγράμματος EOS bounty τον Μάιο του 2018, Vranken εξήγησε πώς η εταιρεία ενίσχυσε την προσέγγισή της στην ασφάλεια μετά τις ανακαλύψεις του:

«Τα σφάλματα που αναφέρθηκαν αναλύθηκαν γρήγορα και διορθώθηκαν στο δημόσιο αποθετήριο τους. Στην αρχή η διαδικασία ήταν πολύ ad-hoc επειδή [EOS CTO] ο Daniel Larimer και εγώ στέλναμε αρχεία ξανά-πίσω στο Telegram, αλλά από τότε άρχισαν να εκτελούν ένα πρόγραμμα bug bounty στο HackerOne, το οποίο πιστεύω ότι είναι προς το συμφέρον του τόσο οι εντοπιστές σφαλμάτων όσο και η ομάδα του EOS. “

Το EOS εξακολούθησε να καταβάλλει ανταμοιβές σε χάκερ το 2019, μοιράζοντας bug bounties για πέντε κρίσιμες ευπάθειες μέχρι στιγμής. Στις 10 Ιανουαρίου, η EOS απένειμε συνολικά 40.750 $ σε πέντε λευκούς χάκερ μέσω του HackerOne, ενώ ένας άλλος ερευνητής έλαβε επιπλέον 10.000 $ bounty.

Το Coinbase είναι ο δεύτερος μεγαλύτερος ξοδεύοντας

Ένα από τα μεγαλύτερα χρηματιστήρια κρυπτογράφησης στον κόσμο, το Coinbase, είναι ο δεύτερος μεγαλύτερος δαπανών σε bounties, διαθέτοντας συνολικά 290.381 $ το 2018. Η εταιρεία αντιμετώπισε μια σειρά από θέματα υψηλού προφίλ από τότε που παρουσίασε σημαντική αύξηση χρηστών στα μέσα του 2017 με αποτέλεσμα καθυστερημένα ή ελλιπή κεφάλαια, καθώς και διακοπή λειτουργίας των υπηρεσιών.

Η εταιρεία έδωσε επιπλέον 30.000 $ σε ανταμοιβές τον Φεβρουάριο του 2019 για την αναφορά ενός κρίσιμου σφάλματος, σύμφωνα με στο πρόγραμμα αποκάλυψης ευπάθειας της Coinbase. Εκείνη την εποχή, το σφάλμα κέρδισε τη μεγαλύτερη ανταμοιβή στην πλατφόρμα, αν και οι λεπτομέρειες του σφάλματος δεν δημοσιοποιήθηκαν. Η Coinbase λειτουργεί ένα πρόγραμμα τεσσάρων επιπέδων στο οποίο θα πληρώσει 200 ​​$ για μια υπόθεση χαμηλού κινδύνου, 2.000 $ για ένα μεσαίο επίπεδο και έως και 50.000 $ για κρίσιμα σφάλματα.

Σύμφωνα με το προφίλ του HackerOne της Coinbase, μια κρίσιμη εκμετάλλευση επιπτώσεων περιλαμβάνει μια κατάσταση στην οποία οι εισβολείς «μπορούν να διαβάσουν ή να τροποποιήσουν ευαίσθητα δεδομένα σε ένα σύστημα, να εκτελέσουν αυθαίρετο κώδικα στο σύστημα ή να εκβάλουν με κάποιο τρόπο ψηφιακό ή fiat νόμισμα».

Σχετικά: Αναφορές Monero σχετικά με την επίλυση σφαλμάτων Fake XMR Minting ένα μήνα μετά την επιδιόρθωση

Η εταιρεία παρουσίασε επίσης τις κατευθυντήριες γραμμές της για την αξιολόγηση ζητημάτων χαμηλού αντίκτυπου: «Οι επιτιθέμενοι μπορούν να κερδίσουν μικρές ποσότητες μη εξουσιοδοτημένων πληροφοριών, χαμηλής ευαισθησίας που επηρεάζουν ένα υποσύνολο χρηστών ή ελαφρώς ακρίβεια και απόδοση του συστήματος.»

Όσον αφορά την επίλυση προβλημάτων που έχουν αναφερθεί, η εταιρεία έχει ιστορικό βραδείας εφαρμογής. Αφού μια ολλανδική εταιρεία ανακάλυψε ένα σφάλμα έξυπνης σύμβασης που επέτρεψε στους χρήστες να κλέψουν «όσο θέλουν» στο Ethereum (ETH), η Coinbase φέρεται να χρειάστηκε ένα μήνα για να το διορθώσει. Η Coinbase πλήρωσε 10.000 $ ανταμοιβή στην εταιρεία πίσω από την ανακάλυψη.

Η Tron έρχεται στην τρίτη θέση

Το Ίδρυμα Tron, το οποίο βρίσκεται πίσω από το νόμισμα TRX, ήταν ο τρίτος μεγαλύτερος δαπανηρός σε bug bounties, συνολικού ύψους 78.800 $ για 15 αναφορές. Μέχρι τώρα, η εταιρεία έχει πληρώσει συνολικά 85.400 $ σε bounties, με το υψηλότερο, στα 10.000 $, πηγαίνοντας στον χρήστη HackerOne nu11pe για μια μη γνωστή αναφορά.

Το πρόγραμμα γενναιοδωρίας της εταιρείας θα πληρώσει 100 $ για μια ευπάθεια χαμηλού κινδύνου, 3.000 $ για μεσαίο κίνδυνο, 6.000 $ για υψηλού κινδύνου και έως 10.000 $ για κρίσιμα ζητήματα. Το προφίλ της Tron’s HackerOne περιγράφει κρίσιμα σφάλματα όπως “σφάλματα που μπορούν να ελέγξουν τους κόμβους java-tron με απομακρυσμένη εκτέλεση οποιουδήποτε κώδικα”, καθώς και αυτά που μπορούν να προκαλέσουν διαρροή ιδιωτικού κλειδιού.

Τον Μάιο, η εταιρεία αποκάλυψε μια κρίσιμη ευπάθεια που θα μπορούσε να μειώσει το blockchain της. Η ανακοίνωση για το HackerOne δηλώνει ότι ένας εισβολέας θα μπορούσε να έχει καταλάβει όλη τη διαθέσιμη μνήμη μέσω μιας κατανεμημένης άρνησης υπηρεσίας ή DDoS, να επιτεθεί στο δίκτυο TRX εφαρμόζοντας κακόβουλο κώδικα σε μια έξυπνη σύμβαση.

Η εταιρεία πρόσθεσε ότι ένα άτομο θα μπορούσε να πραγματοποιήσει την επίθεση DDoS χρησιμοποιώντας ένα μόνο μηχάνημα για να επιτεθεί σε όλο ή το 51% του ανώτερου κόμβου, καθιστώντας έτσι το δίκτυο άχρηστο. Αν και το σφάλμα αναφέρθηκε στις 14 Ιανουαρίου, ανακοινώθηκε δημόσια μόνο αφού είχε ήδη επιδιορθωθεί. Ο ερευνητής πίσω από την ευπάθεια έλαβε 1.500 $.

Τα bug bounties δεν είναι ένα τέλειο σύστημα

Ενώ τα προγράμματα bug bounty δημιουργούν ξεκάθαρα ένα υγιές περιβάλλον στο οποίο οι εταιρείες ανταμείβουν ηθικά hacks στα συστήματά τους, η ιδέα δεν είναι χωρίς τους κριτικούς της. Πιο πρόσφατα, η εξέχουσα κρυπτογράφηση Dovey Wan επέκρινε την απόφαση της Telegram να ανοίξει την ανάπτυξη στο έξυπνο συμβόλαιό της. Ο Φαν εμφανίστηκε κριτικάρω το γεγονός ως παράδειγμα της εταιρείας που δεν επανεπένδυσε στις διαδικασίες ανάπτυξης λογισμικού της, λέγοντας:

«Συγγνώμη, αλλά ένα έργο συγκεντρώθηκε πάνω από ένα δισεκατομμύριο, με περισσότερους από 500 χιλιοστά χρήστες δεν μπορούν καν να κάνουν σωστά έναν λογικό εξερευνητή μπλοκ Πρέπει να αμφιβάλλω ποιο είναι το επίπεδο προτεραιότητας αυτού του δικτύου TON εντός της ομάδας του Telegram και πώς θα χρησιμοποιήσουν τον μεγάλο θησαυρό τους σε κρυπτονομικά πράγματα. ”

Ο Διευθύνων Σύμβουλος της Luta Security, Katie Moussouris, δήλωσε στο Cointelegraph ότι παρόλο που τα bug bounties είναι αποτελεσματικά για την επισήμανση σημαντικών κενών στις υπάρχουσες δομές ασφαλείας, δεν αποτελούν αντικατάσταση της ύπαρξης ειδικής διαδικασίας ασφαλείας:

«Οι εταιρείες δεν μπορούν να χρησιμοποιήσουν bug bounties ως μια φτηνή εναλλακτική λύση για τη δέουσα επιμέλεια στην ασφάλεια. Απλά ζητώντας από τους ξένους να επισημάνουν τα ελαττώματα χωρίς να έχουν την ικανότητα να τα διορθώσουν είναι ένας τρόπος με τον οποίο η υπερβολική χρήση των bug bounties μπορεί γρήγορα να κατακλύσει τους οργανισμούς. “

Ο Vranken περιέγραψε την άποψή του στον Cointelegraph ότι, βάσει της εμπειρίας του ως ερευνητή, μια εταιρεία crypto με πρόγραμμα bug bounty δείχνει ότι μπορεί να εμπιστευτεί την εταιρεία:

«Θα εμπιστευόμουν νωρίτερα ένα πρόγραμμα κρυπτογράφησης που έχει ένα πρόγραμμα εύλογης λειτουργίας που λειτουργεί σωστά από αυτό που δεν το κάνει. Αυτή η στάση διαμορφώνεται από την εμπειρία μου ως ερευνητή και από την επίγνωσή μου για το γεγονός ότι ακόμη και το ευρέως χρησιμοποιούμενο λογισμικό δεν είναι απαραίτητα υποβαθμισμένο από σοβαρό έλεγχο του κώδικα του χωρίς κατάλληλο κίνητρο. ”

Ο Vranken συνέχισε να προσθέτει ότι είναι εξαιρετικά δύσκολο να δημιουργηθεί λογισμικό χωρίς σφάλματα, ανεξάρτητα από το επίπεδο ταλέντου ή το ποσό των χρημάτων που προτείνονται:

“Εάν τίποτα άλλο, ένα πρόγραμμα bug bounty δημιουργεί ένα επίσημο κανάλι για την αναφορά σφαλμάτων και σηματοδοτεί τη μη εχθρότητα προς τους ερευνητές, δεσμεύοντας να εκτιμήσει το έργο τους (μέσω οικονομικής αποζημίωσης).”

Το τρέχον σύστημα bug bounty βασίζεται σε χάκερ που ενεργούν υπεύθυνα, είτε λόγω ηθικής κλίσης είτε από τις ανταμοιβές που προσφέρονται. Παρόλο που φαίνεται εφικτό ότι οι χάκερ θα μπορούσαν να κρατήσουν περισσότερα χρήματα από ό, τι διαφημίζονται στο πρόγραμμα ή να πουλήσουν λεπτομέρειες σχετικά με το ελάττωμα σε ανταγωνιστές, ο Μουσούρης είπε ότι η ζήτηση για τέτοιες πληροφορίες δεν είναι τόσο υψηλή όσο πολλοί αντιλαμβάνονται:

“Δεν υπάρχουν άπειροι αγοραστές σφαλμάτων που περιμένουν να αγοράσουν κάθε σφάλμα – αυτός είναι ένας κοινός μύθος. Ωστόσο, στην κρυπτογράφηση, υπάρχει πιθανότητα περισσότεροι αγοραστές για σφάλματα από ό, τι σε άλλες περιοχές. Τούτου λεχθέντος, εάν οι κυνηγοί σφαλμάτων δίνουν προτεραιότητα στα κέρδη, μπορούν πολύ καλά να επιλέξουν να εκμεταλλευτούν παρά να πουλήσουν τα σφάλματα που βρίσκουν σε κρυπτογράφηση, για πιο άμεσο κέρδος. ”

Παρόλο που οι ανταμοιβές που διαφημίζονται τόσο από εταιρείες κρυπτογράφησης όσο και από εταιρείες λογισμικού σε όλο τον κόσμο μπορεί να δώσουν την εντύπωση ότι το κυνήγι bug bounty μπορεί να προσφέρει μια προσοδοφόρα καριέρα, η πραγματικότητα είναι ότι ο ανταγωνισμός είναι υψηλός και η πρόσβαση δεν κατανέμεται ομοιόμορφα. Ο Μουσούρης εξήγησε στον Cointelegraph ότι όσοι προσκαλούνται σε ιδιωτικά bug bounties έχουν συχνά ανταγωνιστικό πλεονέκτημα:

«Είναι συνήθως πολλή δουλειά που δεν αντισταθμίζεται, ειδικά εάν οι τύποι σφαλμάτων που ο κυνηγός ξέρει πώς να βρει είναι σχετικά κοινές κατηγορίες σφαλμάτων. Μόνο το πρώτο άτομο που αναφέρει μια συγκεκριμένη ευπάθεια πληρώνεται, έτσι οι κυνηγοί bug bounty που είναι οι πιο επιτυχημένοι τείνουν να είναι αυτοί που καλούνται σε ιδιωτικές bug bounties με λιγότερους ανταγωνιστές. “

Για τον Vranken, το κυνήγι bug bounty είναι μια μικτή τσάντα, καθώς η ανταμοιβή δεν ταιριάζει πάντα με τον χρόνο που τίθεται σε ένα έργο:

«Σε σύγκριση με τη συμβατική εργασία που ορίζει την προσπάθεια και την ανταμοιβή εκ των προτέρων, τα bug bounties μπορεί να είναι ενθουσιασμένα (όταν συναντάτε μια σειρά από σφάλματα που ανταμείβονται βαθιά) ή απογοητευτικά (ξοδεύοντας πολύ χρόνο σε κάτι χωρίς να επιτύχουμε αποτελέσματα ή να λάβουμε χαμηλότερα επίπεδα) ανταμοιβή από ό, τι περιμένατε). “