Chương trình săn lỗi nhận thưởng
Chương trình săn lỗi nhận thưởng (tiếng Anh: Bug bounty program) là một cơ chế được nhiều trang web, tổ chức và nhà phát triển phần mềm áp dụng, nhằm ghi nhận và trả thù lao thù lao xứng đáng[1] cho những cá nhân phát hiện và báo cáo các lỗi phần mềm, đặc biệt là những lỗ hổng bảo mật.[2] Trong trường hợp không có phần thưởng tài chính, mô hình này được gọi là chương trình tiết lộ lỗ hổng bảo mật (vulnerability disclosure program).[3][4]
Được xem như một dạng thử nghiệm xâm nhập dựa trên nguồn lực cộng đồng,[5] các chương trình này cấp phép cho những cá nhân bên ngoài—thường được gọi là các thợ săn tiền thưởng lỗi,[6] hacker mũ trắng hoặc hacker đạo đức[7]—tìm kiếm và báo cáo các lỗ hổng bảo mật.[3] Nhờ việc phát hiện và tung ra các bản vá kịp thời trước khi lỗ hổng bị lộ ra ngoài, các đơn vị phát triển có thể ngăn chặn hiệu quả các cuộc tấn công mạng vốn có ý định khai thác chúng.[3]
Cộng đồng tham gia săn lỗi đến từ rất nhiều quốc gia khác nhau. Dù tiền thưởng là động lực chính, họ còn tìm thấy ở đây nhiều giá trị tinh thần và sự khẳng định khác. Trên thực tế, một hacker có thể kiếm được khoản lợi nhuận lớn hơn nhiều nếu đem bán các lỗ hổng zero-day chưa công bố cho các bên trung gian, các công ty phần mềm gián điệp hoặc các cơ quan chính phủ thay vì báo cho nhà cung cấp. Tuy nhiên, việc săn lỗi nằm ngoài phạm vi quy định của chương trình có thể khiến họ đối mặt với rủi ro pháp lý theo các luật về tội phạm mạng. Kể từ cuối những năm 2010, quy mô của các chương trình săn lỗi nhận thưởng đã có sự tăng trưởng vượt bậc.
Nhiều tập đoàn và tổ chức lớn hiện đang tự vận hành chương trình săn lỗi của riêng mình, có thể kể đến Microsoft, Facebook, Google, Mozilla, Liên minh Châu Âu[8] và cả Chính phủ Liên bang Hoa Kỳ.[9] Trong khi đó, các công ty khác thường cung cấp giải thưởng thông qua các nền tảng chuyên dụng như HackerOne.
Tham khảo
- ↑ Ding, Aaron Yi; De Jesus, Gianluca Limon; Janssen, Marijn (2019). "Ethical hacking for boosting IoT vulnerability management". Proceedings of the Eighth International Conference on Telecommunications and Remote Sensing. Ictrs '19 (bằng tiếng Anh). Rhodes, Greece: ACM Press. tr. 49–55. arXiv:1909.11166. doi:10.1145/3357767.3357774. ISBN 978-1-4503-7669-3. S2CID 202676146.
- ↑ Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen (ngày 19 tháng 11 năm 2018). "Don't shoot the messenger! A criminological and computer science perspective on coordinated vulnerability disclosure". Crime Science (bằng tiếng Anh). 7 (1): 16. doi:10.1186/s40163-018-0090-8. hdl:1871.1/8cdcfab0-9864-46c2-a7b7-a295c8ee511a. ISSN 2193-7680. S2CID 54080134.
- 1 2 3 Magalhães 2024, tr. 236.
- ↑ Jackson 2021, tr. 6.
- ↑ Magalhães 2024, tr. 235.
- ↑ Lozano & Amir 2018, tr. 5.
- ↑ Laszka et al. 2018, tr. 138.
- ↑ Magalhães 2024, tr. 241.
- ↑ "The Pentagon Opened up to Hackers - And Fixed Thousands of Bugs". Wired. ngày 10 tháng 11 năm 2017. Truy cập ngày 25 tháng 5 năm 2018.
Tài liệu
- Ablon, Lillian; Bogart, Andy (2017). Zero Days, Thousands of Nights: The Life and Times of Zero-Day Vulnerabilities and Their Exploits (PDF) (bằng tiếng Anh). Rand Corporation. ISBN 978-0-8330-9761-3.
- Jackson, John (2021). Corporate Cybersecurity: Identifying Risks and the Bug Bounty Program (bằng tiếng Anh). John Wiley & Sons. ISBN 978-1-119-78252-0.
- Laszka, Aron; Zhao, Mingyi; Grossklags, Jens (2016). Banishing Misaligned Incentives for Validating Reports in Bug-Bounty Platforms (bằng tiếng Anh). Springer International Publishing. tr. 161–178. ISBN 978-3-319-45741-3.
- Laszka, Aron; Zhao, Mingyi; Malbari, Akash; Grossklags, Jens (2018). The Rules of Engagement for Bug Bounty Programs (bằng tiếng Anh). Springer. tr. 138–159. ISBN 978-3-662-58387-6.
- Libicki, Martin C.; Ablon, Lillian; Webb, Tim (2015). The Defender's Dilemma: Charting a Course Toward Cybersecurity (PDF) (bằng tiếng Anh). Rand Corporation. ISBN 978-0-8330-8911-3.
- Lozano, Carlos A.; Amir, Shahmeer (2018). Bug Bounty Hunting Essentials: Quick-paced guide to help white-hat hackers get through bug bounty programs (bằng tiếng Anh). Packt. ISBN 978-1-78883-443-8.
- Magalhães, João Paulo (2024). "Bug Bounties: Ethical and Legal Aspects". Legal Developments on Cybersecurity and Related Fields (bằng tiếng Anh). Springer International Publishing. tr. 235–250. ISBN 978-3-031-41820-4.
- Magazinius, Ana; Mellegård, Niklas; Olsson, Linda (2021). What We Know About Bug Bounty Programs - An Exploratory Systematic Mapping Study (bằng tiếng Anh). Springer International Publishing. tr. 89–106. ISBN 978-3-030-55958-8.
- Sinha, Sanjib (2019). Bug Bounty Hunting for Web Security: Find and Exploit Vulnerabilities in Web sites and Applications (bằng tiếng Anh). Apress. ISBN 978-1-4842-5391-5.
- Sood, Aditya; Enbody, Richard (2014). Targeted Cyber Attacks: Multi-staged Attacks Driven by Exploits and Malware (bằng tiếng Anh). Syngress. ISBN 978-0-12-800619-1.
- Strout, Benjamin (2023). The Vulnerability Researcher's Handbook: A comprehensive guide to discovering, reporting, and publishing security vulnerabilities (bằng tiếng Anh). Packt Publishing. ISBN 978-1-80324-356-6.