كانت أول شركات التقنية التي تقدم مكافآت مقابل الثغرات الأمنية التي يتم
إكتشافها في أنظمتها هي شركات صانعي متصفحات الويب، حيث يتم تقديم مكافآت
مالية ومعنوية للمتسللين الذين يجدون نقاط ضعف في التعليمات البرمجية،
والبداية كانت من شركة Netscape في عام 1995 وفعلت موزيلا نفس الشيء في
عام 2004. الهدف من هذه المكافآت هو حثNormal
0
false
false
false
EN-US
X-NONE
AR-SA
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:22.5pt;
mso-para-margin-left:0cm;
line-height:23.45pt;
mso-pagination:widow-orphan;
font-size:20.0pt;
font-family:"Traditional Arabic","serif";
mso-font-kerning:18.0pt;}
كانت أول شركات التقنية التي تقدم مكافآت مقابل الثغرات الأمنية التي يتم
إكتشافها في أنظمتها هي شركات صانعي متصفحات الويب، حيث يتم تقديم مكافآت
مالية ومعنوية للمتسللين الذين يجدون نقاط ضعف في التعليمات البرمجية،
والبداية كانت من شركة Netscape في عام 1995 وفعلت موزيلا نفس الشيء في
عام 2004 .
الهدف من هذه المكافآت هو حث القراصنة (الأخلاقيين منهم) على إخبار
الشركة بنقاط الضعف في برامجها وتطبيقاتها قبل أن تصبح نقاط الضعف هذه
معروفة للجميع، وبالتالي يتم استغلالها من القراصنة الذين يبحثون عن
التخريب وسرقة البيانات. ويعتبر هذا الأمر فوز للطرفين فهي وسيلة لمنع
القراصنة أصحاب الأجندات الخفية من استغلال نقاط ضعف البرامج والتطبيقات،
وذلك من خلال توظيف القراصنة للمساعدة في تعزيز امأن هذه التطبيقات
والبرامج.
اقرأ أيضًا: الاتحاد الأوروبي سيمول برنامج مكافآت اكتشاف الثغرات
الأمنية في البرمجيات المفتوحة المصدر
ميدان منافسة يجذب القراصنة
في السنوات الأخيرة، أصبحت المنافسة للحصول على المكافآت من الشركات
الكبرى مثل جوجل وفيسبوك ومايكروسوفت ميدان حامي الوطيس للقراصنة الذين
ينشدون الحصول على المكافآت المالية من هذه الشركات، لأنها عادةً ما تقدم
مبالغ كبيرة.
ولاحقًا انضمت العديدة من الشركات التي ظهرت في الفترة الأخيرة مثل Tesla
و Yelp و Reddit و Square و Password 1 و Pinterest و ،Uber التي أصبحت
تقدم العديد من المكافآت المغرية التي أصبحت لا تشمل فقط مبالغ مالية، بل
في بعض الأحيان يتعدى الأمر للحصول على وظيفة بدوام كامل.
ولكن المكافآت مقابل إكتشاف الثغرات الأمنية أصبحت لا تقتصر على شركات
التكنولوجيا وحدها، بل حتى المؤسسات المالية والرعاية الصحية والجهات
الحكومية التي لديها برامج حاسوبية وتطبيقات على الانترنت، توحهت لهذا
المجال من خلال تقديم المكافآت لقراصنة مستقلين للبقاء آمنين واكتشاف
الاختراق الرئيسي التالي .
وأصبحت المكافآت التي تقدم من اجل اكتشاف الثغرات الأمنية أمرًا شائعًا
لدرجة أن وسطاء الطرف الثالث مثل BugCrowd و HackerOne موجودون لربط
القراصنة بأموال المكافآت. وكما هو مفصل في تقرير Hacker ، فقد دفعت
الشركة أكثر من 23 مليون دولار إلى المتسللين البالغ عددهم 166,000 في
شبكتها وحدها، والذين قاموا باكتشاف أكثر من 72,000 نقطة ضعف في البرامج
والتطبيقات المختلفة.
بطبيعة الحال، هناك أيضا بعض السلبيات، فبعض الشركات مثل Exodus
Intelligence تقدم مكافآت أعلى من الشركات الكبيرة، ثم تبيع اشتراكًا
للشركات التي تتضمن المعلومات هذه. وهذا ليس بالأمر السيئ بالضرورة، فمن
المهم العثور على نقاط الضعف في البرامج والتطبيقات المختلفة قبل أن
تنتشر ويتم استغلالها بشكل سيء.
اقرأ المزيد: شركات بلوك تشين أنفقت 878,000 دولار على مكافآت اكتشاف
الثغرات الأمنية في أنظمة العملات الرقمية
في السطور التالية سنلقي نظرة على أكبر المكافآت التي تم تقديمها
للقراصنة مقابل جهودهم في إكتشاف الثغرات الأمنية في البرامج والتطبيقات
المختلفة.
أكبر المكافآت المقدمة لمكتشفي الثغرات الأمنية
Oath/Verizon Media
في أبريل من العام 2018، قامت الشركة المعروفة سابقًا باسم Oath Inc
بتقديم مبلغ 400,000 إلى 40 مشاركًا في حدث H1-415 التي نظمته مؤسسة
HackerOne وقامت شركة Oath/Verizon Media ، التي تمتلك شركتي Yahoo و AOL
، بتخصيص 400 ألف دولار أخرى في حدث منفصل في نوفمبر 2018 للمتسللين
الذين حددوا 159 نقطة ضعف أمنية حرجة.
بعد نجاح فعاليات هذا الحدث، أنشأت الشركة برنامج مكافآت الأخطاء ، ومن
خلالها تم دفع 5 ملايين دولار في عام 2018 للقراصنة والباحثين الذين
وجدوا أخطاء من مستويات التهديد المختلفة عبر منصات متعددة.
مايكروسوفت
في العام 2018 نظمت شركة مايكروسوفت حدث بارز على مستوى إكتشاف الثغرات
الأمنية في أنظمتها، حيث بلغت المكافآت المالية التي تم تقديمها مقابل
إكتشاف الثغرات الأمنية مليوني دولار، ولكن بعد ذلك توقفت مايكروسوفت عن
إصدار معلومات حول المكافآت الفردية بالإضافة إلى المبالغ المقدمة
وبالطبع مستوى وشدة الثغرات المكتشفة من قِبل القراصنة.
لكن أكبر مكافأة تُمنح لشخص واحد من قبل شركة مايكروسوفت كانت من نصيب
فاسيليس باباس Vasilis Pappas ، الذي حصل على 200,000 دولار في عام 2012
عندما كان طالب دكتوراه بجامعة كولومبيا .
قام باباس بتقديم أفكار للمساعدة في حل مشكلة أمنية صعبة للغاية تسمى
"البرمجة الموجهة نحو العودة Return-Oriented Programming والتي تُعرف
إختصارًا ب "ROP وهي تقنية للقراصنة تستخدم غالبًا لتعطيل عناصر تحكم
أمان الكمبيوتر الخاصة بالبرنامج أو التحايل عليها. وقام الفائز بإنشاء
برنامج يسمى kBouncer والذي يمنع أي شيء يشبه هجوم ROP .
اقرأ المزيد: الأمان والخصوصية: كيف تكسب الشركات الكبرى ثقتنا؟
جوجل
يعود برنامج مكافآت إكتشاف الثغرات الأمنية التي تقدمها جوجل إلى عام
2010، ومنذ ذلك الحين تم دفع أكثر من 15 مليون دولار، منها 3.4 مليون
دولار تم منحها في عام 2018 (1.7 مليون دولار منها تركز على إكتشاف
الأخطاء في نظام التشغيل اندرويد والمتصفح كروم) وكان أكبر مبلغ فردي تم
دفعه في العام الماضي منحة قدرها 41,000 دولار لباحث غير محدد.
ومن بين المنح العامة، تلقى Ezequiel Pereira البالغ من العمر 19 عامًا
من أوروغواي 36,000 دولار لاكتشافه خطأ أمني يتعلق بتنفيذ التعليمات
البرمجية عن بُعد في وحدة التحكم في Cloud Platform من جوجل.
فيسبوك
بالنسبة لشركة تعاني من بعض الهفوات الأمنية على مر السنين، فليس من
المستغرب تمامًا أن يكون فيسبوك حريصًا على تحديد ثغراتها الأمنية
ومعالجتها أول بأول. دفع برنامج مكافأة الأخطاء على الشبكة الاجتماعية
مبلغ 7.5 مليون دولار منذ إنشائه في عام 2011.
وكان باحث الأمن الروسي أندرو ليونوف Andrew Leonov صاحب أعلى سجل مكافأة
بعد حصوله على 40,000 دولار من فيسبوك لاكتشافه عيب أمني في برنامج أمان
تابع لجهة خارجية يمكن أن تؤثر على فيسبوك نفسها . بينما المبلغ الأكبر
والبالغ 50,000 تم دفعه في العام الماضي لأحد الباحثين الأمنين بعد
اكتشافه خطأ في آلية اشتراك مطور فيسبوك الذي يتيح له معرفة الإخطارات
بشأن أنواع معينة من نشاط المستخدم.
اقرأ أيضًا: الاتحاد السعودي للأمن السيبيراني يطلق منصة مكافآت الثغرات
وزارة الدفاع الأمريكية
لمدة شهر واحد في عام 2016، قالت وزارة الدفاع الأمريكية أن هنالك 250
محاولة من القراصنة لإكتشاف الثغرات الأمنية بأنظمة الوكالات الحكومية
الأمريكية، ووجدت 138 نقطة ضعف حددتها وزارة الدفاع بأنها "شرعية وفريدة
ومؤهلة للحصول على مكافأة " وعلى الرغم من أن برنامج مكافأة الأخطاء قد
كلف الحكومة الفيدرالية حوالي 150,000 دولار، إلا أن المسؤولين يعتقدون
أنه قد تم إنفاق الأموال بشكل جيد .
وقال وزير الدفاع وقتها أشتون كارتر :
هذا ليس مبلغًا صغيرًا، لكن إذا مررنا بالعملية المعتادة المتمثلة في
التعاقد مع شركة خارجية لإجراء تدقيق أمني وتقييم لمدى الضعف، وهو ما
نفعله عادة، فإن ذلك سيكلفنا أكثر من مليون دولار.
في عام 2018، وسعت وزارة الدفاع برنامج مكافآت الاختراق إلى عدد كبير من
البرامج الجديدة التي استضافتها HackerOne ، والتي استهدفت الأنظمة
الحكومية المملوكة للجيش والقوات الجوية ومشاة البحرية ونظام الدفاع
الجوي . وتم تقديم مكافآت مالية مجتمعة بلغت 500,000 دولار للمتسللين
الذين اكتشفوا حوالي 5000 نقاط ضعف فريدة من نوعها عبر قواعد البيانات
والمواقع الحكومية .
اقرأ أيضًا: ثغرة أمنية في جوجل كروم تمكن المخترقين من التحكم في حواسيب
المستخدمين
شركات الطيران
معظم شركات الطيران لا تمنح مبالغ مالية للقراصنة لقاء إكتشاف الثغرات
الأمنية في أنظمتها، ولكنها بالمقابل تمنح الآلاف من الأميال المجانية
على طائراتها كمكافأة.
ومن بين هذه الشركات الخطوط الجوية المتحدة ، والتي قدمت للعديد من
الباحثين الأمنيين الآلاف من أميال السفر المجانية في العام الماضي، وكان
اكثر المحظوظين هو أوليفير بيج Olivier Beg ، الباحث الأمني البالغ من
العمر 19 عام من هولندا، الذي تلقى مليون ميل مكافأة له لإيجاده حوالي 20
خطأ مختلف في أنظمة شركة الطيران .
إكتشافها في أنظمتها هي شركات صانعي متصفحات الويب، حيث يتم تقديم مكافآت
مالية ومعنوية للمتسللين الذين يجدون نقاط ضعف في التعليمات البرمجية،
والبداية كانت من شركة Netscape في عام 1995 وفعلت موزيلا نفس الشيء في
عام 2004. الهدف من هذه المكافآت هو حثNormal
0
false
false
false
EN-US
X-NONE
AR-SA
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:22.5pt;
mso-para-margin-left:0cm;
line-height:23.45pt;
mso-pagination:widow-orphan;
font-size:20.0pt;
font-family:"Traditional Arabic","serif";
mso-font-kerning:18.0pt;}
كانت أول شركات التقنية التي تقدم مكافآت مقابل الثغرات الأمنية التي يتم
إكتشافها في أنظمتها هي شركات صانعي متصفحات الويب، حيث يتم تقديم مكافآت
مالية ومعنوية للمتسللين الذين يجدون نقاط ضعف في التعليمات البرمجية،
والبداية كانت من شركة Netscape في عام 1995 وفعلت موزيلا نفس الشيء في
عام 2004 .
الهدف من هذه المكافآت هو حث القراصنة (الأخلاقيين منهم) على إخبار
الشركة بنقاط الضعف في برامجها وتطبيقاتها قبل أن تصبح نقاط الضعف هذه
معروفة للجميع، وبالتالي يتم استغلالها من القراصنة الذين يبحثون عن
التخريب وسرقة البيانات. ويعتبر هذا الأمر فوز للطرفين فهي وسيلة لمنع
القراصنة أصحاب الأجندات الخفية من استغلال نقاط ضعف البرامج والتطبيقات،
وذلك من خلال توظيف القراصنة للمساعدة في تعزيز امأن هذه التطبيقات
والبرامج.
اقرأ أيضًا: الاتحاد الأوروبي سيمول برنامج مكافآت اكتشاف الثغرات
الأمنية في البرمجيات المفتوحة المصدر
ميدان منافسة يجذب القراصنة
في السنوات الأخيرة، أصبحت المنافسة للحصول على المكافآت من الشركات
الكبرى مثل جوجل وفيسبوك ومايكروسوفت ميدان حامي الوطيس للقراصنة الذين
ينشدون الحصول على المكافآت المالية من هذه الشركات، لأنها عادةً ما تقدم
مبالغ كبيرة.
ولاحقًا انضمت العديدة من الشركات التي ظهرت في الفترة الأخيرة مثل Tesla
و Yelp و Reddit و Square و Password 1 و Pinterest و ،Uber التي أصبحت
تقدم العديد من المكافآت المغرية التي أصبحت لا تشمل فقط مبالغ مالية، بل
في بعض الأحيان يتعدى الأمر للحصول على وظيفة بدوام كامل.
ولكن المكافآت مقابل إكتشاف الثغرات الأمنية أصبحت لا تقتصر على شركات
التكنولوجيا وحدها، بل حتى المؤسسات المالية والرعاية الصحية والجهات
الحكومية التي لديها برامج حاسوبية وتطبيقات على الانترنت، توحهت لهذا
المجال من خلال تقديم المكافآت لقراصنة مستقلين للبقاء آمنين واكتشاف
الاختراق الرئيسي التالي .
وأصبحت المكافآت التي تقدم من اجل اكتشاف الثغرات الأمنية أمرًا شائعًا
لدرجة أن وسطاء الطرف الثالث مثل BugCrowd و HackerOne موجودون لربط
القراصنة بأموال المكافآت. وكما هو مفصل في تقرير Hacker ، فقد دفعت
الشركة أكثر من 23 مليون دولار إلى المتسللين البالغ عددهم 166,000 في
شبكتها وحدها، والذين قاموا باكتشاف أكثر من 72,000 نقطة ضعف في البرامج
والتطبيقات المختلفة.
بطبيعة الحال، هناك أيضا بعض السلبيات، فبعض الشركات مثل Exodus
Intelligence تقدم مكافآت أعلى من الشركات الكبيرة، ثم تبيع اشتراكًا
للشركات التي تتضمن المعلومات هذه. وهذا ليس بالأمر السيئ بالضرورة، فمن
المهم العثور على نقاط الضعف في البرامج والتطبيقات المختلفة قبل أن
تنتشر ويتم استغلالها بشكل سيء.
اقرأ المزيد: شركات بلوك تشين أنفقت 878,000 دولار على مكافآت اكتشاف
الثغرات الأمنية في أنظمة العملات الرقمية
في السطور التالية سنلقي نظرة على أكبر المكافآت التي تم تقديمها
للقراصنة مقابل جهودهم في إكتشاف الثغرات الأمنية في البرامج والتطبيقات
المختلفة.
أكبر المكافآت المقدمة لمكتشفي الثغرات الأمنية
Oath/Verizon Media
في أبريل من العام 2018، قامت الشركة المعروفة سابقًا باسم Oath Inc
بتقديم مبلغ 400,000 إلى 40 مشاركًا في حدث H1-415 التي نظمته مؤسسة
HackerOne وقامت شركة Oath/Verizon Media ، التي تمتلك شركتي Yahoo و AOL
، بتخصيص 400 ألف دولار أخرى في حدث منفصل في نوفمبر 2018 للمتسللين
الذين حددوا 159 نقطة ضعف أمنية حرجة.
بعد نجاح فعاليات هذا الحدث، أنشأت الشركة برنامج مكافآت الأخطاء ، ومن
خلالها تم دفع 5 ملايين دولار في عام 2018 للقراصنة والباحثين الذين
وجدوا أخطاء من مستويات التهديد المختلفة عبر منصات متعددة.
مايكروسوفت
في العام 2018 نظمت شركة مايكروسوفت حدث بارز على مستوى إكتشاف الثغرات
الأمنية في أنظمتها، حيث بلغت المكافآت المالية التي تم تقديمها مقابل
إكتشاف الثغرات الأمنية مليوني دولار، ولكن بعد ذلك توقفت مايكروسوفت عن
إصدار معلومات حول المكافآت الفردية بالإضافة إلى المبالغ المقدمة
وبالطبع مستوى وشدة الثغرات المكتشفة من قِبل القراصنة.
لكن أكبر مكافأة تُمنح لشخص واحد من قبل شركة مايكروسوفت كانت من نصيب
فاسيليس باباس Vasilis Pappas ، الذي حصل على 200,000 دولار في عام 2012
عندما كان طالب دكتوراه بجامعة كولومبيا .
قام باباس بتقديم أفكار للمساعدة في حل مشكلة أمنية صعبة للغاية تسمى
"البرمجة الموجهة نحو العودة Return-Oriented Programming والتي تُعرف
إختصارًا ب "ROP وهي تقنية للقراصنة تستخدم غالبًا لتعطيل عناصر تحكم
أمان الكمبيوتر الخاصة بالبرنامج أو التحايل عليها. وقام الفائز بإنشاء
برنامج يسمى kBouncer والذي يمنع أي شيء يشبه هجوم ROP .
اقرأ المزيد: الأمان والخصوصية: كيف تكسب الشركات الكبرى ثقتنا؟
جوجل
يعود برنامج مكافآت إكتشاف الثغرات الأمنية التي تقدمها جوجل إلى عام
2010، ومنذ ذلك الحين تم دفع أكثر من 15 مليون دولار، منها 3.4 مليون
دولار تم منحها في عام 2018 (1.7 مليون دولار منها تركز على إكتشاف
الأخطاء في نظام التشغيل اندرويد والمتصفح كروم) وكان أكبر مبلغ فردي تم
دفعه في العام الماضي منحة قدرها 41,000 دولار لباحث غير محدد.
ومن بين المنح العامة، تلقى Ezequiel Pereira البالغ من العمر 19 عامًا
من أوروغواي 36,000 دولار لاكتشافه خطأ أمني يتعلق بتنفيذ التعليمات
البرمجية عن بُعد في وحدة التحكم في Cloud Platform من جوجل.
فيسبوك
بالنسبة لشركة تعاني من بعض الهفوات الأمنية على مر السنين، فليس من
المستغرب تمامًا أن يكون فيسبوك حريصًا على تحديد ثغراتها الأمنية
ومعالجتها أول بأول. دفع برنامج مكافأة الأخطاء على الشبكة الاجتماعية
مبلغ 7.5 مليون دولار منذ إنشائه في عام 2011.
وكان باحث الأمن الروسي أندرو ليونوف Andrew Leonov صاحب أعلى سجل مكافأة
بعد حصوله على 40,000 دولار من فيسبوك لاكتشافه عيب أمني في برنامج أمان
تابع لجهة خارجية يمكن أن تؤثر على فيسبوك نفسها . بينما المبلغ الأكبر
والبالغ 50,000 تم دفعه في العام الماضي لأحد الباحثين الأمنين بعد
اكتشافه خطأ في آلية اشتراك مطور فيسبوك الذي يتيح له معرفة الإخطارات
بشأن أنواع معينة من نشاط المستخدم.
اقرأ أيضًا: الاتحاد السعودي للأمن السيبيراني يطلق منصة مكافآت الثغرات
وزارة الدفاع الأمريكية
لمدة شهر واحد في عام 2016، قالت وزارة الدفاع الأمريكية أن هنالك 250
محاولة من القراصنة لإكتشاف الثغرات الأمنية بأنظمة الوكالات الحكومية
الأمريكية، ووجدت 138 نقطة ضعف حددتها وزارة الدفاع بأنها "شرعية وفريدة
ومؤهلة للحصول على مكافأة " وعلى الرغم من أن برنامج مكافأة الأخطاء قد
كلف الحكومة الفيدرالية حوالي 150,000 دولار، إلا أن المسؤولين يعتقدون
أنه قد تم إنفاق الأموال بشكل جيد .
وقال وزير الدفاع وقتها أشتون كارتر :
هذا ليس مبلغًا صغيرًا، لكن إذا مررنا بالعملية المعتادة المتمثلة في
التعاقد مع شركة خارجية لإجراء تدقيق أمني وتقييم لمدى الضعف، وهو ما
نفعله عادة، فإن ذلك سيكلفنا أكثر من مليون دولار.
في عام 2018، وسعت وزارة الدفاع برنامج مكافآت الاختراق إلى عدد كبير من
البرامج الجديدة التي استضافتها HackerOne ، والتي استهدفت الأنظمة
الحكومية المملوكة للجيش والقوات الجوية ومشاة البحرية ونظام الدفاع
الجوي . وتم تقديم مكافآت مالية مجتمعة بلغت 500,000 دولار للمتسللين
الذين اكتشفوا حوالي 5000 نقاط ضعف فريدة من نوعها عبر قواعد البيانات
والمواقع الحكومية .
اقرأ أيضًا: ثغرة أمنية في جوجل كروم تمكن المخترقين من التحكم في حواسيب
المستخدمين
شركات الطيران
معظم شركات الطيران لا تمنح مبالغ مالية للقراصنة لقاء إكتشاف الثغرات
الأمنية في أنظمتها، ولكنها بالمقابل تمنح الآلاف من الأميال المجانية
على طائراتها كمكافأة.
ومن بين هذه الشركات الخطوط الجوية المتحدة ، والتي قدمت للعديد من
الباحثين الأمنيين الآلاف من أميال السفر المجانية في العام الماضي، وكان
اكثر المحظوظين هو أوليفير بيج Olivier Beg ، الباحث الأمني البالغ من
العمر 19 عام من هولندا، الذي تلقى مليون ميل مكافأة له لإيجاده حوالي 20
خطأ مختلف في أنظمة شركة الطيران .
تعليقات
إرسال تعليق