Vidéo: Inside a Facebook Hackathon (Novembre 2024)
Qu'est-ce que vous obtenez lorsque vous mettez des pirates dans une pièce et leur donnez une liste de sites Web cibles? Ils vont à la chasse aux insectes!
C'est ce qui s'est passé à Bug Bash 2013, un "hack-a-thon sur Internet" organisé par Bugcrowd lors de la conférence AppSec USA à New York plus tôt cette semaine. Environ 80 personnes ont participé au cours des trois soirées, et "des centaines" ont participé à distance via Internet, a déclaré Casey John Ellis, fondateur et PDG de Bugcrowd. Les participants ont soumis les bogues identifiés à Bugcrowd et l'équipe a répliqué les conditions qui ont conduit à l'erreur pour confirmer le problème.
La liste des cibles comprenait des entreprises telles que Facebook, Google, Etsy, Prezi et Yandex. Les testeurs de sécurité qui ont participé ont identifié plus de 220 bugs, a déclaré Ellis. Pour la plupart, les problèmes concernaient la variété banale banale, y compris certaines vulnérabilités d'injection et de contournement.
"Je n'ai pas encore entendu parler de vulnérabilités exotiques, mais nous analysons toujours nos données", a déclaré Ellis.
Bugcrowd prévoit de divulguer plus de détails sur le type de bogues découverts et des informations sur l'événement à une date ultérieure. La startup basée à San Francisco exécute des programmes dans lesquels des groupes de personnes travaillent ensemble pour trouver des bogues dans les sites Web et les applications. Une fois qu'il confirme que les anomalies signalées sont légitimes, il gère le processus de notification des fournisseurs appropriés.
Primes de bugs
Les programmes de prime aux bogues gagnent en popularité, car les entreprises encouragent les chercheurs à leur soumettre directement des rapports de bogues au lieu de les vendre au gouvernement ou de leur proposer d'exploiter des courtiers. Ne pas signaler le bogue au fournisseur signifie que l'acheteur peut utiliser ces vulnérabilités à ses propres fins et laisse les utilisateurs non protégés de cette faille logicielle.
Mozilla et Google ont probablement les programmes de primes de bogues les plus connus, mais de nombreuses autres entreprises proposent désormais une sorte de programme (une liste longue mais non complète est disponible ici). Facebook a annoncé en août qu'il avait versé un million de dollars en primes au cours des deux dernières années.
Tous les bogues ne sont pas admissibles à ces programmes. Par exemple, Facebook indique clairement que son programme ne couvre que des problèmes susceptibles de "compromettre l'intégrité des données des utilisateurs de Facebook, de contourner les protections de la confidentialité des données des utilisateurs de Facebook ou de permettre l'accès à un système au sein de l'infrastructure de Facebook". Microsoft a récemment lancé une série de prix et était très spécifique au type de problèmes qu’il recherchait.
Bug Bash 2013
Il est difficile d'estimer à ce stade la valeur totale des bogues découverts dans le cadre de Bug Bash, car les programmes de primes pour les bogues varient énormément dans le montant qu'ils paient. Certains programmes paient plusieurs centaines de dollars et d'autres, plusieurs milliers de dollars. Il est également important de noter que chaque société a des règles spécifiques sur ce qu’elle reconnaît comme un bogue et quels types de problèmes sont couverts par le programme de primes pour bogues.
Même si 220 bogues ont été soumis, il appartient au fournisseur de décider si les problèmes sont qualifiés ou non de paiement. Et même s'il y a un paiement, c'est également au vendeur de décider du montant. Cependant, même si chacun des 200 bugs et plus ne valent que quelques centaines de dollars, ce n'est pas mal pour quelques heures de travail sur trois jours.
Des représentants de Facebook étaient même présents lors des événements pour donner un aperçu de leurs programmes de primes de bogues et pour répondre aux questions des participants.
Les personnes qui avaient participé à des séances de formation sur différentes techniques s’arrêtaient pour participer au piratage en groupe, a déclaré Tom Brennan, membre du conseil d’administration de la OWASP Foundation et l’un des organisateurs d’AppSec USA. Les gens collaboraient pour travailler sur des cibles et demander de l'aide les uns aux autres. La recherche de bogues n’est pas un processus automatisé, car elle oblige vraiment les utilisateurs à réfléchir à ce qu’ils voient et à ajuster leurs techniques en conséquence. Un environnement collaboratif dans lequel les gens peuvent échanger leurs idées peut être "très efficace" pour la chasse aux insectes, a déclaré Brennan.
