Puugipreemiajaht

Puugipreemiajaht^[1] (inglise keeles Bug bounty program) on paljude veebilehtede, organisatsioonide ja arendajate poolt välja pakutud lahendus, mille puhul kasutajad saavad teenida tunnustust ja rahalist kompensatsiooni, raporteerides süsteemides eelkõige eksploitide ja haavatavuste tuvastamiseni viivaid vigu.^[2] See võimaldab arendajatel leida ja parandada vigu, enne kui laiem avalikkus nendest teada saab, seeläbi ennetades süsteemi nõrkuste laiahaardelist kuritarvitamist.

Sellise süsteemi on kasutusele võtnud näiteks Mozilla^[3], Facebook^[4], Yahoo!^[5], Google^[6], Reddit^[7] ja Microsoft^[8]. Ka tehnoloogiatööstusevälised organisatsioonid (näiteks nagu Ameerika Ühendriikide Kaitseministeerium) on hakanud puugipreemiajahte kasutama kasutama.^[9] Pentagoni poolne puugipreemiajahtide kasutuselevõtt on olnud osa Ameerika Ühendriikide seisukohamuutusest, kus valge kaabu häkkerite juriidilise karistamise asemel julgustatakse neid vigade ja haavatavuste leidmisesse panustama.^[10]

Ajalugu

Esimese teadaoleva sarnase algatuse tegid aastal 1983 Hunter & Ready. Nad pakkusid enda operatsioonisüsteemist vea leidjale autasuks Volkswagen Type 1 auto.^[11]

Termin bug bounty program tuli kasutusele aastal 1995, mil Netscape viis ellu enda samalaadset programmi.^[12] Programm osutus niivõrd edukaks, et see on leidnud mainimist paljudes Netscape’i edulugu kirjeldanud raamatutes.

Vastuolud

Aastal 2013 andis üks Palestiina informaatikatudeng Facebookile teada veast, mis võimaldas igaühel postitada video valitud konto alt. Pärast seda, kui Facebooki arendajad ei mõistnud tudengit õigesti, otsustas tudeng viga ära kasutada ja postitada video Mark Zuckerbergi konto alt. Selle tõttu jättis Facebook talle vea leidmise eest pearaha maksmata.^[13]

Yahoo! sattus aastal 2013 kriitika alla, kui nad saatsid puugipreemiajahi raames haavatavuste leidjatele tänutäheks T-särke. Negatiivne vastukaja ajendas neid aga oktoobris alustama uut programmit, mille raames said vigu leidnud kasutajad tänutäheks 150 – 15 000 dollarit.^[14]

Märkimisväärseid näiteid

2013. aasta oktoobris kuulutas Google välja olulise muudatuse enda puugipreemiajahis. Eelnevalt ainult Google’i enda tooteid hõlmanud programm laienes nüüd ka kindlatele kõrgendatud riskiga vabavaralistele tarkvaralahendustele (eelkõige võrgundusele ja operatsioonisüsteemide madaltaseme programmeerimisliidestele).^[15] Aastal 2017 laiendas Google programmi ka kolmandate osapoolte loodud rakendustele, mis on saadaval Google’i veebipõhise tarkvarapoe Play Store kaudu.^[16]

Aastal 2013 lõid Microsoft ja Facebook koos üleinternetilise puugipreemiajahi, eesmärgiga tasustada inimesi, kes tuvastavad vigu laialdaselt kasutatud operatsioonisüsteemides, veebibrauserites või Internetis tervikuna. Lisaks eelmainitutele hõlmas programm ka tarkvaralahendusi nagu Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, NGINX, Apache HTTP Server ja Phabricator.^[17][18]

2016. aastal kuulutas Peter Cook välja Ameerika Ühendriikide valitsuse esimese puugipreemiajahi “Hack the Pentagon”.^[19] 18. aprillist kuni 12. maini väldanud programmis osales üle 1400 inimese, kes esitasid kokku 138 unikaalset raportit ja kellele Ameerika Ühendriikide Kaitseministeerium tegi kokku 75 000 dollari väärtuses makseid.^[20]

Viited

1. "Bug bounty program". AKIT - Andmekaitse ja infoturbe leksikon. Cybernetica. Vaadatud 9. jaanuaril 2020.
2. "The Hacker-Powered Security Report 2017" (PDF). HackerOne. 2017. Vaadatud 03.12.2019.
3. "Mozilla Security Bug Bounty Program". Mozilla. Vaadatud 03.12.2019.
4. "Facebook White Hat". Facebook. 15.10.2019. Vaadatud 03.12.2019.
5. "Verizon Media". HackerOne. 04.02.2014. Vaadatud 03.12.2019.
6. "Google Vulnerability Reward Program". Google. Vaadatud 03.12.2019.
7. "Reddit White Hat". Reddit. 11.02.2014. Vaadatud 03.12.2019.
8. Zimmerman, Steven (26.07.2017). "Microsoft Announces Windows Bug Bounty Program and Extension of Hyper-V Bounty Program". XDA Developers. Vaadatud 03.12.2019.
9. Newman, Lily Hay (10.11.2017). "The Pentagon Opened Up to Hackers—And Fixed Thousands of Bugs". Wired. Vaadatud 03.12.2019.
10. "A Framework for a Vulnerability Disclosure Program for Online Systems". Cybersecurity Unit, Computer Crime & Intellectual Property Section, Criminal Division, U.S. Department of Justice. Juuli 2017. Vaadatud 03.12.2019.
11. Morgan, Steve (09.07.2017). "The first "bug" bounty program". Twitter. Vaadatud 03.12.2019.
12. "Netscape Announces "Netscape Bugs Bounty" With Release of Netscape Navigator 2.0 Beta". Netscape. 10.10.1995. Originaali arhiivikoopia seisuga 1. mai 1997. Vaadatud 03.12.2019.
13. Gross, Doug (20.08.2013). "Zuckerberg's Facebook page hacked to prove security flaw". CNN. Vaadatud 03.12.2019.
14. Osborne, Charlie (03.10.2013). "Yahoo changes bug bounty policy following 't-shirt gate'". ZDNet. Vaadatud 03.12.2019.
15. Goodin, Dan (10.10.2013). "Google offers "leet" cash prizes for updates to Linux and other OS software". Ars Technica. Vaadatud 03.12.2019.
16. Liptak, Andrew (22.10.2017). "Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play". The Verge. Vaadatud 03.12.2019.
17. Goodin, Dan (07.11.2013). "Now there's a bug bounty program for the whole Internet". Ars Technica. Vaadatud 03.12.2019.
18. "The Internet Bug Bounty". HackerOne. Vaadatud 03.12.2019.
19. Pellerin, Cheryl (02.03.2016). "DoD Invites Vetted Specialists to 'Hack' the Pentagon". U.S. Department of Defense. Originaali arhiivikoopia seisuga 13. märts 2016. Vaadatud 03.12.2019.
20. "Hack the Pentagon". HackerOne. Originaali arhiivikoopia seisuga 2. juuli 2017. Vaadatud 03.12.2019.