تحتوي جميع البرامج على أخطاء أو عيوب تؤدي إلى حدوث مشكلات. وهي تتراوح من المشكلات العادية التي لا تؤثر على أداء البرامج بأي طريقة رئيسية، إلى الثغرات الأمنية الخطيرة.

قد يكون من الصعب اكتشاف الأخطاء، وهذا هو السبب في أن العديد من شركات التكنولوجيا لديها برامج مكافآت أخطاء. ولكن ما هي بالضبط برامج مكافأة الأخطاء؟ كيف تعمل، وكيف تساعد في تحسين أمان المنتج؟

كيف تعمل برامج Bug Bounty

تطلق الشركات برامج مكافآت الأخطاء من أجل تحفيز المتسللين ذوي القبعات البيضاء للبحث عن ثغرات أمنية ونقاط ضعف مماثلة في البرامج. عادةً ما يكون هناك أكثر من جائزة مالية لائقة لأولئك الذين يكتشفون خطأ ما، بغض النظر عن مدى عدم أهميته بالنسبة للشخص العادي.

وليست الشركات الصغيرة والناشئة فقط التي لديها برامج مكافأة الشوائب. في الواقع، يديرها معظم عمالقة التكنولوجيا، بما في ذلك Google و Microsoft و Facebook و Apple. يمكن العثور على تفاصيل حول هذه البرامج عادةً على موقع الويب الرسمي للشركة. في كثير من الأحيان، هناك العديد من المستويات أو الفئات. ولكن من حيث المبدأ، كلما زادت أهمية الخطأ، زادت المكافأة.

بمجرد أن يكتشف مخترق القبعة البيضاء خطأ ما، يقدم تقرير إفصاح مفصل يشرح ما وجده. يقوم مهندسو الشركة بعد ذلك بمراجعة التقديم والتحقيق فيه، وإذا تبين أن نتائج الباحث دقيقة ومفيدة، يتم إخطارهم والحصول على مكافأة مالية.

يعمل هذا النظام لكل من الشركات والباحثين المستقلين. من وجهة نظر أي شركة، من الأفضل أن يكتشف المتسلل الأخلاقي خطأً من أن يكتشف أحد الفاعلين المهددين، والذي من المرجح أن يستمر في استغلاله قبل إصلاحه، مما قد يتسبب في أضرار بالملايين. من ناحية أخرى، يقوم المتسللون بإجراء جزء كبير من التغيير بالمشاركة في برامج مكافآت الأخطاء – حتى أن بعضهم يكسب دخلًا بدوام كامل لاكتشاف نقاط الضعف في البرامج.

أمثلة على برامج Bug Bounty التي تعمل على تحسين أمان البرامج

من الجيد معرفة كيفية عمل برامج bug bounty من الناحية النظرية، ولكن دعونا نلقي نظرة على بعض الأمثلة الواقعية للشركات التي تدفع مبالغ ضخمة للقراصنة ذوي القبعات البيضاء.

بالتعاون مع منصة مكافأة الأخطاء Immunefi، أطلقت منصة جسر blockchain اللامركزية Wormhole في فبراير 2022 برنامج مكافأة يقدم 10 ملايين دولار لأي شخص يكتشف خطأ أمني خطير. بعد فترة وجيزة، اكتشف قراصنة قبعة بيضاء يستخدم الاسم المستعار satya0x واحدًا. كما أوضحت شركة Immunefi في منشور على الوسيط ، كان من الممكن أن يؤدي الخطأ إلى قفل أموال المستخدمين، لذلك تلقى satya0x 10 ملايين دولار للإفصاح عنه.

أيضًا في فبراير 2022، دفعت منصة تداول العملات المشفرة Coinbase مكافأة مكافأة بقيمة 250 ألف دولار أمريكي لباحث مستقل لاكتشافه عيبًا كبيرًا في واجهة التداول الخاصة بالمنصة.

Aurora Labs ، الشركة التي تقف وراء الجهاز الظاهري Aurora Ethereum (ETH)، دفعت مكافأة ضخمة قدرها 6 ملايين دولار في أبريل 2022. المال تم منحه إلى متسلل أخلاقي يُعرف باسم pwning.eth، بعد أن اكتشف ثغرة من شأنها أن تسمح لممثلي التهديد بسك إمدادات لا حصر لها من عملة الإيثيريوم المشفرة في محرك Aurora.

عملاق التجارة الالكترونية الكندي Shopify ، في غضون ذلك، حطم الرقم القياسي الخاص به في عام 2021، عندما بلغ إجمالي مدفوعات المكافآت مليون دولار. في ذلك العام، تلقت الشركة ما مجموعه 3000 تقرير خطأ من قراصنة قبعة بيضاء حول العالم. رداً على ذلك، قامت Shopify برفع الحد الأقصى لمكافأة المكافأة إلى 100000 دولار. حددت Wormhole مكافأة مكافأة بقيمة 10 ملايين دولار فقط بعد أن خسرت 320 مليون دولار بسبب خرق. كافأت Aurora Labs أحد المتسللين ذوي القبعة البيضاء لأن 6 ملايين دولار تتضاءل مقارنة بخسارة ما قيمته 240 مليون دولار من ETH، بينما من المحتمل أن توفر Coinbase و Shopify عشرات الملايين من خلال تعويض الباحثين الدؤوبين.

أفضل 5 رواتب عالية برامج Bug Bounty

Man writing code on a laptop

نظرًا لأن الشركات توفر بالفعل الكثير من المال من خلال إعداد برامج مكافآت للأخطاء، فهناك مجموعة من الخيارات التي يمكن للباحثين الاختيار من بينها. إذا كنت من المتسللين ذوي القبعات البيضاء أو كنت ترغب في أن تصبح واحدًا، فإليك خمسة برامج مكافآت للأخطاء عالية الأجر يجب وضعها في الاعتبار.

1. Apple Security Bounty

Apple Security Bounty هو واحد من أشهر برامج مكافآت الأخطاء البرمجية في العالم. تتراوح المكافآت من 5000 دولار لاكتشاف نقاط الضعف في شاشة القفل، إلى 2 مليون دولار للثغرات الأمنية التي من شأنها أن تمكن الفاعل من تجاوز حماية وضع التأمين. كل ما عليك فعله لإرسال تقرير خطأ (والذي يجب أن يكون شاملاً ومفصلاً) هو تسجيل الدخول باستخدام معرف Apple الخاص بك.

2. برنامج Microsoft Bug Bounty

آخر مشهور يتم تشغيل برنامج bug bounty بواسطة Microsoft، والذي يقدم مجموعة واسعة من المكافآت. مثل برنامج Apple، ينقسم برنامج Microsoft إلى عشرات الفئات المختلفة. على سبيل المثال، إذا اكتشفت ثغرة أمنية في إطار عمل Microsoft.NET، فيمكنك توقع دفعة تصل إلى 15000 دولار. ولكن إذا اكتشفت واحدًا في Microsoft Hyper-V، فقد تحصل على مكافأة تصل إلى 250 ألف دولار.

3. برنامج مكافآت Samsung

Samsung Rewards يتمحور البرنامج حول منتجات الشركة المحمولة. لديها سياسات صارمة نسبيًا، لذا تأكد من قراءتها بعناية قبل إرسال الخطأ. لاحظ أيضًا أنه يتم أخذ الأخطاء التي تؤثر على أمان أجهزة Samsung فقط في الاعتبار من قبل مهندسي الشركة. تتراوح المكافآت بين 200 دولار و 200000 دولار.

4. Google Bug Hunters

في برنامج المكافآت Google Bug Hunters، تصل المكافآت إلى 30000 دولار. يمكن لصائدي الأخطاء، كما يُشار إلى قراصنة القبعات البيضاء في كثير من الأحيان، الإبلاغ عن الأخطاء في Gmail و يوتيوب و BlogSpot وخدمات Google الأخرى. يحتوي هذا البرنامج على مجتمع نشط للغاية وجامعة خاصة به على الانترنت، والتي يمكن أن تكون مصدرًا رائعًا للباحثين المبتدئين.

5. Meta Bug Bounty

يغطي برنامج Meta bounty Facebook و انستقرام و WhatsApp و Messenger ومجموعة كبيرة من المنتجات الأخرى. لكي يتم أخذك في الاعتبار للحصول على مكافأة (الحد الأدنى هو 500 دولار)، تحتاج إلى العثور على الثغرات الأمنية التي تشكل خطرًا على الأمان أو الخصوصية وتفي بمتطلبات محددة بوضوح. تتلقى جميع التقارير الصالحة استجابة. إذا اكتشف العديد من الصيادين نفس المشكلة، فسيتم منح المكافأة لأول شخص يرسل تقريرًا.

Bug Bounty Programs: The Best of Crowdsourced Security

Bug Bounty تمثل البرامج أفضل أمان من التعهيد الجماعي. وليست شركات التكنولوجيا والباحثون في مجال الأمن السيبراني فقط هم المستفيدون منها، بل يستفيد منها الجميع، بما في ذلك المستهلكون. إذا كنت تندرج في الفئة الأخيرة، أو تطمح إلى ذلك، فهناك الكثير من الدورات التدريبية عبر الانترنت التي تستحق إلقاء نظرة عليها.