قیمت نقص های امنیتی چگونه محاسبه می‌شود؟

قیمت نقص های امنیتی چگونه محاسبه می‌شود؟

برآورد هزینه نقص های امنیتی

برنامه های باگ بانتی اغلب محدوده قیمتی (برای پاداش بانتی) که دربردارنده سقف مبلغ هزینه ای که برای انواع باگ ها پرداخت می‌کنند را منتشر می‌کنند. مبلغی که به ازای هر نقص افشا شده پرداخت می‌شود از کمترین میزان 50 دلاری آغاز می‌شود و تا یک عدد هفت رقمی می تواند افزایش پیدا کند. ارقامی که روی کاغذ آمده اند معمولا باتوجه به نوع نقص و میزان شدت ارزیابی شده آن (سطح شدت تاثیرگذاری آسیب پذیری در سازمان و کاربران آن) سازماندهی می‌شود. برای مثال آمار و ارقام جدول زیر نشان می‌دهد که در برنامه باگ بانتی اپل حداکثر مبلغی که برای یک آسیب‌پذیری یا بهره‌برداری پرداخت شده است به عواملی چون سیستم درگیرشده و نوع حمله بستگی دارد. در جدول دیگر که مربوط به برنامه پاداش آسیب‌پذیری گوگل (Google’s Vulnerability Reward Program) است، میزان “پاداش (reward)” را برای دسته بندی های مختلف نقص‌ها به عواملی چون نوع باگ کشف شده و همچنین اپلیکیشنی که باگ در آن پیدا شده بستگی دارد.

جدول بانتی امنیتی اپل – دسته بندی پرداخت پاداش

حداکثر پرداخت صورت گرفته

موضوع

دسته بندی بانتی

100.000$ دسترسی غیرقانونی به اطلاعات حساب کاربری  iCloud از سرورهای اپل iCloud
100.000$

250.000$

استخراج داده های کاربر به وسیله بای‌پس لاک اسکرین حمله به دستگاه بااستفاده از دسترسی فیزیکی
100.000$

150.000$

250.000$

دسترسی غیرقانونی به اطلاعات حساس

اجرای کد Kernel

حمله از سمت کانال CPU

حمله به دستگاه از طریق اپلیکیشن های نصب شده توسط کاربر

در واقعیت، تعیین قیمت برای یم نقص آنطورکه از لیست های قیمت ارائه شده می‌توان برداشت کرد، زیاد بالا پایین نمی‌شوند. اغلب بین محققان امنیتی و برگزار کنندگان برنامه های باگ بانتی درمورد قیمت ها اختلاف نظرهایی به وجود می‌آید. کارکنانی که گزارش های ارسالی را بررسی می‌کنند، قدرت زیادی در تعیین میزان این پاداش یا حتی پرداخت یا عدم پرداخت پاداش دارند. محققان امنیتی که از جایگاه اجتماعی ویژه‌ای برخوردار هستند روش هایی برای چانه زنی بر سر بالا بردن مبلغ پاداش دارند که سایر افراد از این ویژگی محروم هستند.

پلتفرم ها و برگزارکنندگان برنامه های باگ بانتی قیمت ها را به صورت استراتژیک تعیین می‌کنند. بالا بردن مبلغ جایزه مطمئنا نظر محقق های امنیتی زیادی را به سمت برنامه جلب می‌کند و درنتیجه میزان تعامل به میزان چشم گیری بالا می‌رود. در برخی از برنامه های باگ بانتی پاداش درست پس از تایید اعتبار گزارش باگ و قبل از رفع نقص به محقق امنیتی پرداخت می‌شود. اما در برخی دیگر از این برنامه های پاداش پس از رفع نقص پرداخت می‌شود که گاها زمان زیادی از تاریخ ثبت گزارش تا دریافت پول سپری می‌شود.

جدول قوانین برنامه پاداش آسیب‌پذیری گوگل و الفبا (VRP) – میزان پاداش های تعیین شده برای آسیب پذیری های امنیتی
پاداش های تعیین شده برای باگ های معتبر از 100$ تا 31.337$ متغیر است. جدولی که درادامه می‌بینید، پاداش های معمول انتخاب شده برای کلاس های شناخته شده باگ ها نشان داده شده است.

مالکیت های غیرکپارچه و سایر اپلیکیشن های با اولویت پایین و سندباکس

اپلیکیشن های معمولی گوگل

سایر اپلیکیشن های با حساسیت بسیار زیاد

اپلیکیشنی که اجازه ورود به حساب کاربری گوگل از آن داده شده

مثالها

دسته بندی

آسیب پذیری هایی که دسترسی مستقیم به سرورهای گوگل می‌دهند

1.337$-5.000$

31.337$

31.337$

31.337$

تزریق دستور، دسریالایز کردن باگ ها، دستبرد به سندباکس اجرای کنترل از راه دور

1.337$-5.000$

13.337$

13.337$

13.337$

XXE خارج از سندباکس، تزریق SQL سیستم فایل بدون محدودیت یا دسترسی به پایگاه داده

500$

5.000$

7.500$

13.337$

ارجاع مستقیم به شی

جعل هویت کاربر از راه دور

نقص منطقی

نشت باگ یا بای‌پس کنترل‌های امنیتی قابل‌توجه

آسیب پذیری هایی که به مشتری یا سشن احراز هویت شده قربانی ای که وارد سیستم شده اجازه دسترسی می‌دهد.

100$

3.133.7$

5.000$

7.500$

وب:

Cross-site-scripting

موبایل/سخت‌افزار:

اجرای کد

اجرای کد در سمت مشتری

100$

500$-3.133.7$

500$-5000$

500$-7500$

وب:

CSRF1

دزدیدن کلیک

سخت‌افزار/ موبایل:

نشت اطلاعات،

دستکاری مجوز اولویت

سایر آسیب‌پذیری های امنیتی معتبر

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *