Kasutaja:Rx1334/Vea pearaha programm

Vea pearaha programm on paljude veebilehtede, organisatsioonide ja arendajate poolt välja pakutud lahendus, mille puhul kasutajad saavad teenida tunnustust ja rahalist kompensatsiooni, raporteerides süsteemides eelkõige eksploitide ja haavatavuste tuvastamiseni viivaid vigu.^[1] See programm võimaldab arendajatel leida ja parandada vigu, enne kui laiem avalikkus nendest teada saab, seeläbi ennetades süsteemi nõrkuste laiahaardelist kuritarvitamist.

Vea pearaha programmid on kasutusele võtnud näiteks Mozilla^[2], Facebook^[3], Yahoo!^[4], Google^[5], Reddit^[6] ja Microsoft^[7]. Ka tehnoloogiatööstusevälised organisatsioonid (näiteks nagu Ameerika Ühendriikide Kaitseministeerium) on hakanud vea pearaha programme kasutama.^[8] Pentagoni poolne vea pearaha programmide kasutuselevõtt on olnud osa Ameerika Ühendriikide seisukohamuutusest, kus valge kaabu häkkerite juriidilise karistamise asemel julgustatakse neid vigade ja haavatavuste leidmisesse panustama.^[9]

Ajalugu

Esimese teadaoleva vea pearaha programmi algatasid aastal 1983 Hunter & Ready. Nad pakkusid enda operatsioonisüsteemist vea leidjale autasuks Volkswagen Type 1 auto.^[10]

Termin 'vea pearaha programm' loodi aastal 1995, mil Netscape viis ellu enda samalaadse programmi.^[11] Programm osutus niivõrd edukaks, et see on leidnud mainimist paljudes Netscape’i edulugu kirjeldanud raamatutes.

Vastuolud

Aastal 2013 raporteeris üks Palestiina informaatikatudeng Facebookile vea, mis võimaldas igaühel postitada video valitud konto alt. Pärast seda, kui Facebooki arendajad ei mõistnud tudengit õigesti, otsustas tudeng viga ära kasutada ja postitada video Mark Zuckerbergi konto alt. Selle tulemusena jättis Facebook talle vea leidmise eest pearaha maksmata.^[12]

Yahoo! sattus aastal 2013 kriitika alla, kui nad saatsid vea pearaha programmi raames haavatavuste leidjatele tänutäheks t-särke. Negatiivne vastukaja ajendas neid aga oktoobris uue programmiga alustama, mille raames said vigu leidnud kasutajad tänutäheks 150 kuni 15,000 dollarit.^[13]

Märkimisväärsed programmid

2013. aasta oktoobris kuulutas Google välja olulise muudatuse enda vea pearaha programmis. Eelnevalt ainult Google’i enda tooteid hõlmanud programm laienes nüüd ka kindlatele kõrgendatud riskiga vabavaralistele tarkvaralahendustele (eelkõige võrgundusele ja operatsioonisüsteemide madaltaseme programmeerimisliidestele).^[14] Aastal 2017 laiendas Google programmi ka kolmandate osapoolte loodud rakendustele, mis on saadaval Google’i veebipõhise tarkvarapoe Play Store kaudu.^[15]

Aastal 2013 lõid Microsoft ja Facebook koos üleinternetilise vea pearaha programmi, eesmärgiga tasustada inimesi, kes tuvastavad vigu laialdaselt kasutatud operatsioonisüsteemides, veebibrauserites või Internetis tervikuna. Lisaks eelmainitutele hõlmas programm endas ka tarkvaralahendusi nagu Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, NGINX, Apache HTTP Server ja Phabricator.^[16][17]

2016. aastal kuulutas Peter Cook välja Ameerika Ühendriikide valitsuse esimese pearaha programmi nimega “Hack the Pentagon”.^[18] 18. aprillist kuni 12. maini väldanud programmis osales üle 1400 inimese, kes esitasid kokku 138 unikaalset raportit ja kellele Ameerika Ühendriikide Kaitseministeerium tegi kokku 75,000 dollari väärtuses makseid.^[19]

Viited

1. "The Hacker-Powered Security Report 2017" (PDF). HackerOne. 2017. Vaadatud 03.12.2019.
2. "Mozilla Security Bug Bounty Program". Mozilla. Vaadatud 03.12.2019.
3. "Facebook White Hat". Facebook. 15.10.2019. Vaadatud 03.12.2019.
4. "Verizon Media". HackerOne. 04.02.2014. Vaadatud 03.12.2019.
5. "Google Vulnerability Reward Program". Google. Vaadatud 03.12.2019.
6. "Reddit White Hat". Reddit. 11.02.2014. Vaadatud 03.12.2019.
7. Zimmerman, Steven (26.07.2017). "Microsoft Announces Windows Bug Bounty Program and Extension of Hyper-V Bounty Program". XDA Developers. Vaadatud 03.12.2019.
8. Newman, Lily Hay (10.11.2017). "The Pentagon Opened Up to Hackers—And Fixed Thousands of Bugs". Wired. Vaadatud 03.12.2019.
9. "A Framework for a Vulnerability Disclosure Program for Online Systems". Cybersecurity Unit, Computer Crime & Intellectual Property Section, Criminal Division, U.S. Department of Justice. Juuli 2017. Vaadatud 03.12.2019.
10. Morgan, Steve (09.07.2017). "The first "bug" bounty program". Twitter. Vaadatud 03.12.2019.
11. "Netscape Announces "Netscape Bugs Bounty" With Release of Netscape Navigator 2.0 Beta". Netscape. 10.10.1995. Vaadatud 03.12.2019.
12. Gross, Doug (20.08.2013). "Zuckerberg's Facebook page hacked to prove security flaw". CNN. Vaadatud 03.12.2019.
13. Osborne, Charlie (03.10.2013). "Yahoo changes bug bounty policy following 't-shirt gate'". ZDNet. Vaadatud 03.12.2019.
14. Goodin, Dan (10.10.2013). "Google offers "leet" cash prizes for updates to Linux and other OS software". Ars Technica. Vaadatud 03.12.2019.
15. Liptak, Andrew (22.10.2017). "Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play". The Verge. Vaadatud 03.12.2019.
16. Goodin, Dan (07.11.2013). "Now there's a bug bounty program for the whole Internet". Ars Technica. Vaadatud 03.12.2019.
17. "The Internet Bug Bounty". HackerOne. Vaadatud 03.12.2019.
18. Pellerin, Cheryl (02.03.2016). "DoD Invites Vetted Specialists to 'Hack' the Pentagon". U.S. Department of Defense. Vaadatud 03.12.2019.
19. "Hack the Pentagon". HackerOne. Vaadatud 03.12.2019.