Professional Documents
Culture Documents
I. Uwagi wstpne
Dziaanie podmiotw, ktrych celem jest znajdowanie bdw w
systemie teleinformatycznym w celu zwrcenia uwagi wacicielowi
systemu, i posiada on wady i luki (program typu: bug bounty), jest
zjawiskiem stosunkowo nowym. Jego znaczenie ronie, z uwagi na fakt, i
coraz
wiksza
sfera
dziaalnoci
gospodarczej
posiada
swoje
odzwierciedlenie w Internecie. Co istotne, coraz wicej firm proponuje
gratyfikacj (finansow lub rzeczow) za wskazywanie ww. luk i bdw w
systemach. Firmy uzyskuj bowiem w zamian korzy w postaci lepszego
zabezpieczenia systemu przez atakami, ktre rzeczywicie maja na celu
dokonanie zakce w dziaaniu systemu lub te wykradzenie danych.
Dokonujc analizy funkcjonowania tego typu programw na wiecie
mona wskaza na trzy gwne warianty funkcjonowania biznesowego
tego typu programw:
1) podmiot chccy wystawi do testowania swoje produkty sporzdza
regulamin
funkcjonowania
programu.
Regulamin
ten
jest
powszechnie dostpny. Podmiot chccy testowa system zgasza
swj udzia w programie. Otrzymuje specjalne konta testowe. Wtedy
podmiot jest pod kontrol waciciela systemw i moe wykonywa
testy. Testy tego typu s prowadzone w stosunku do podatnoci
statycznych tzn. nie testuje reakcji sub bezpieczestwa podmiotw.
W przypadku natrafienia na luki w systemie podmiot testujc
sporzdza raport zgodnie z przyjtym wzorcem i przesya go do
waciciela systemu. Waciciel systemu dokonuje oceny raportu i w
przypadku potwierdzenia danej podatnoci wypaca honorarium
zgodnie z taryfikatorem ujtym w regulaminie. Tego typu programy
s wykorzystywane w stosunku do systemw gdzie technologicznie
nie mona lub nie opaca si tworzenie systemu testowego.
Przykady to: Facebook, Google.
2) podmiot testowany uruchamia rodowiska testowe i wystawia
system testowy do testw dla szerokiego grona uytkownikw.
3) kady tester testuje oprogramowanie (systemy operacyjne, aplikacje
serwerw www, pocztowych itp.) we wasnym rodowisku testowym i
w przypadku znalezienia podatnoci zgasza do producenta ten fakt i
jeli zostanie potwierdzona podatno dostaje wynagrodzenie.
Reasumujc, programy typu bug bounty powinny mie jasno
zdefiniowane reguy i zasady funkcjonowania podmiotw, w tym zasady
wynagradzania z podziaem na grupy i wag podatnoci. Ceny za takie
testy wahaj si od 200 $ do 1500000 $, w przypadku podatnoci
krytycznej w systemach powszechnie stosowanych. Naley zwrci uwag,
e
programy tego typu operuj tylko w wybranym obszarze
bezpieczestwa teleinformatycznego jakim s bdy programistyczne.
1
10