باگ بانتی یه به عبارتی پرداخت پاداش در قبال ارائه گزارش آسیب پذیری سیستم مفهومی است که قدمت چندانی ندارد. با توجه به مفهوم باگ بانتی شرکت های دیجیتالی دنیا به منظور شناسایی خلل امنیتی در سیستم های خود مسابقاتی را برگزار کرده و از متخصصین و هکرها دعوت به عمل می آورند تا سیستم شرکت را هک و حفره های امنیتی سیستم را شناسایی کنند. به عبارت دیگر از متخصصین خارج از شرکت می خواهند تا باگ های امنیتی سیستم آن را شناسایی کرده و در برابر این تلاش و شناسایی رخنه های امنیتی به او جایزه پرداخت می کنند.
هر ساله شرکت های بزرگی به این کار می پردازند و جوایز بزرگی به عنوان پاداش برای افرادی که باگ سیستم های آن ها را شناسایی میکنند پرداخت می شود.
باگ بانتی راهکار ارتقا امنیت در فضای سایبری است. باگ بانتی راهکاری است که با استفاده از کمک همه، هوش و دانش همه متخصصین و تجربیات آن ها و …گزارشات آسیب پذیری سیستم را از دیگران و افراد خارج از شرکت دریافت و با استفاده از خرد جمعی به حل مشکلات سیستم خود می پردازد.
باگ بانتی اولین بار در سال 1983 برای یک سیستم عامل بلادرنگ و کشف باگ های آن مطرح شد. در سال 1995 یک مهندس پشتیبان در ارتباط با شرکت Netscape عبارت باگ بانتی را بیان کرد.
علاقمندان به شرکت Netscape باگ های محصولات را شناسایی و راهکارهایی برای حل آنها ارائه می کردند. ارائه گزارشات آسیب پذیری توسط این متخصصین از راه های گوناگونی چون انجمن های خبری بخش پشتیبانی فنی شرکت Netscape، وب سایت غیر رسمی و …بیان می گردید.
Ridlinghafer همان مهندس پشتیبان فنی شرکت Netscape پیشنهاداتی برای برنامه باگ بانتی نوشت و آن را با تیم اجرایی شرکت در میان گذاشت و با پذیرش اکثر تیم مهندسی سازمان برنامه باگ بانتی اولین بار در سال 1995 راه اندازی شد.
تاریخچه باگ بانتی
عبارت Bug bounty در سال 1851 برای باز کردن قفلی فیزیکی مطرح شد. تولید کننده قفل به متخصص امنیت قفل پاداشی برابر با 200 شمش طلا پرداخت کرد.
اما باگ بانتی به معنای امروزی و دیجیتال برای اولین بار در سال 1983 توسط شرکت Hunter&Ready مطرح گردید. شرکت فوق بعدها با شرکت Microtec ادغام و برای سیستم عامل اختصاصی شرکت باگ بانتی برگزار گردید. فولکس واگن به عنوان جایزه برنده باگ بانتی مشخص شد.
مزایا و معایب باگ بانتی
از جمله مزایای باگ بانتی به موارد ذیل می توان اشاره کرد:
· شناسایی باگ های بیشتر توسط متخصصین بیشتر در تمام نقاط دنیا
· شناسایی باگ های امنیتی سیستم پیش از آنکه سیستم مورد حمله و آسیب جدی قرار گیرد
· پرداخت پاداش به افرادی که باگ های امنیتی را شناسایی می کنند و پرداخت کمتری برای انجام تست نفوذ در سازمان
· شناسایی سریع تر باگ های امنیتی سیستم با استفاده از طیف وسیعی از متخصصین در نقاط مختلف دنیا
· تبلیغی برای سازمان به منظور تمرکز بر غیر قابل نفوذ و آسیب پذیر بودن سیستم
به دلیل هزینه بالا تست نفوذ یکبار در سال و توسط متخصصین سازمان انجام می گیرد ولی با استفاده از باگ بانتی با صرف هزینه بسیار کمتری می توان در بازه های زمانی کوتاه تری و با استفاده از متخصصین مختلف در نقاط مختلف دنیا تست نفوذ سازمان را انجام و حفره های امنیتی را شناسایی کرد.
اما در کنار تمامی مزایای یاد شده مدیران امنیتی و تخصصی سازمان ها گاهی اوقات تردید می کنند که ممکن است متخصصین و هکرهای کلاه سفید حفره های امنیتی و آسیب ها را به سازمان گزارش نکنند و این حفره های امنیتی را در اختیار دیگر افراد با مقاصدی در تقابل با مقاصد سازمان قرار دهند.
اما با توجه به طیف وسیعی از متخصصین در بازه زمانی کوتاه که باگ بانتی را انجام می دهند با فرض اینکه حتی اگر گروهی از متخصصین گزارش آسیب و باگ را به مدیران سازمان انتقال ندهند افراد و متخصصین دیگر سریعاً این باگ و آسیب ها را شناسایی و در اختیار متخصصین سازمان قرار خواهند داد.
برنامه های برتر باگ بانتی
هک روان ایجاد کننده بستر برنامه های عیب یابی یا پیدا کردن باگ است. این پلتفرم برنامه های موفق عیب یابی را مطابق لیست ذیل ارائه کرده است:
· وریزون مدیا
· اوبر
· پی پل
· شاپیفای
· توئیتر
· اینتل
· ایر بی ان بی
· یوبیکوئیتی نتورک
· ولو
· گیت لب
علاوه بر هکروان به عنوان تولید کننده بستر برنامه های عیب یابی باگرود، سینک، کبالت، باگ هاب، سیف هتس و … به عنوان تولید کننده بستر برنامه های عیب یابی مطرح می باشند.
ثبت دیدگاه