ما هي الثغرات الأمنية؟ وما هي أبرز المواقع التي تعطي المال والجوائز مقابل اكتشافها؟

الثغرات الأمنية في أي تطبيق أو برنامج هي ضعف في هذا البرنامج أو خلل ما في التّصميم، مما يؤدّي إلى خطر في خرق المعلومات أو تغيير هذه المعلومات، وتمتدّ هذه االثغرات الأمنية إلى جميع البرمجيّات من التحديثات التي تصدر عن الشركة المبرمجة لهذه التطبيقات إلى المكتبات البرمجيّة وتطبيقات الويب، كما يشير الضّعف التقني إلى احتمال فشل النّظام بكامله بسبب التّأثيرات الخارجيّة.

عمليّة البحث عن الأخطاء و العثور على نقاط الضّعف في البرامج والمواقع الإلكترونيّة وتطبيقات الويب قد تكون عمليّة مدفوعة، فالشّركات الكبرى ليس لديها ما يكفي من الوقت أو القوى البشرية لكشف جميع الأخطاء التي لديها، لذلك يحصل بعض المخترقين على عشرات الآلاف من الدولارات سنويًا فقط من أجل العثور على الأخطاء، وبسبب أهميّة بعض التطبيقات وحساسيتها فإن وجود ثغرة ما قد يشكل كارثة حقيقية، لذا فإن أجر صائدي الثّغرات قد يكون أعلى من أجر مهندس البرمجيّات في بعض الحالات.

ويمكنك تطوير مهاراتك في هذا المجال عبر OWASP WebGoat حيث يمكنك التدرب على اكتشاف الثغرات البرمجية ونقاط الضعف في تطبيقات الويب، وإلقاء نظرة على Google Bughunter حيث تجد الكثير من أدوات البحث عن الأخطاء ومعلومات حول كيفيّة كتابة تقارير الضعف والثّغرات.

تثق العديد من المؤسّسات والشّركات في Bugcrowd لإدارة واكتشاف الأخطاء والثّغرات من خلال الجمع بين كبار المخترقين وأكثرهم خبرة حول العالم، حيث يوفّر Bugcrowd نتائج أفضل ويخفّض من المخاطر ويتيح للمؤسّسات إطلاق منتجات آمنة من خلال تقديم عدّة حلول للتقييمات الأمنية أحدها Bug Bounty، كما يوفّر حلول SaaS التقنية التي يمكنك استخدامها بسهولة في دورة حياة البرنامج الحاليّة الخاصّة بك ويجعل من السّهل تشغيل برنامج مكافأة الخطأ بنجاح.

Intigriti هي عبارة عن منصّة شاملة لاكتشاف الخلل والأخطاء سواء كنت ترغب في تشغيل برنامج خاص أو برنامج عام، بالنّسبة للمتسللين هناك الكثير من المكافآت للاستيلاء عليها وذلك اعتمادًا على حجم الشّركة وصناعتها، حيث تتوفّر عمليات البحث عن الأخطاء التي تتراوح من 1000 يورو إلى 20000 يورو.

عندما يتعلّق الأمر بالوصول إلى المتسللين وإنشاء برامج المكافآت الخاصة بك والنّشر وتقييم المساهمات فيعتبر Hackerone هو الرّائد من بين برامج مكافآت الأخطاء.

وهناك طريقتان يمكنك استخدام HackerOne من خلالهما، فالطّريقة الأولى هي استخدام النّظام الأساسي لجمع تقارير الثغرات والعمل عليها بنفسك أو السماح للخبراء في Hackerone بالقيام بالعمل الشاق، أمّا الطّريقة الثّانية فهي عبارة عن عمليّة تجميع تقارير الثّغرات والتحقّق منها والتّواصل مع المتسلّلين.

يتمّ استخدام Hackerone من قبل أسماء كبيرة مثل Google Play و PayPal و GitHub و Starbucks وما شابه ذلك فهو مخصّص لأولئك الذين يعانون من أخطاء شديدة وثغرات كثيرة.

اقرأ ايضًا: اكتشاف الثغرات الأمنية لم تعد هواية: أكبر المكافآت المالية التي تم دفعها للقراصنة الأخلاقيين

يبدو أن Synack هو أحد استثناءات السّوق التي تبعث الثّقة وتنتهي شيء ضخم، فقد كان برنامجهم الأمني Hack the Pentagon هو أبرز البرامج التي أدّت إلى اكتشاف العديد من نقاط الضّعف الحرجة، فإذا كنت تبحث عن اكتشاف الثغرات الأمنية بالإضافة إلى التّوجيه الأمنيّ والتّدريب على المستوى الأعلى فإن Synack هو الطريق الصحيح.

حجزت مايكروسوفت مكانًا لها بين الشركات الأكثر سخاءً حينما خصّصت مليوني دولار لاكتشاف الثغرات البرمجية، وبعد ذلك لم تفصح الشركة عن أي معلومات متعلّقة بالمكافآت الفرديّة، لكن أكبر مكافأة مُنحت كانت لصالح Vasilis Pappas الذي حصل على 200.000 دولار في عام 2012 عندما كان طالبًا في جامعة كولومبيا يتابع دراسته في درجة الدكتوراه، وقدّم Pappas حينها حلولًا لمشكلة البرمجة الموجّهة نحو العائدات والتي اعتاد المتسلّلين اختراقها.

يعود برنامج مكافآت الثّغرات الأمنيّة من Google إلى عام 2010 ومنذ ذلك الحين دفعت الشركة أكثر من 15 مليون دولار، منها 3.4 مليون دولار منحتها الشركة في عام 2018 و 1.7 مليون دولار منها تركّز على الأخطاء في Android و Chrome، وكان أكبر مبلغ منفرد قدّمته الشركة في العام الماضي منحة قدرها 41000 دولار، ومن بين المنح العامة تلقّى Ezequiel Pereira البالغ من العمر 19 عامًا من أوروغواي 36000 دولار لاكتشاف خطأ تنفيذ التّعليمات البرمجيّة عن بُعد في وحدة التّحكم في Cloud Platform من Google.

كان Santiago Lopez أول شخص يحصل على أرباح قدرها مليون دولار على منصّة HackerOne، حيث يقول هذا المخترق أنّه بدأ طريقه بمشاهدة مقاطع فيديو YouTube وقراءة المدوّنات من تلقاء نفسه، ولكن الشيء الذي أثار اهتمامه بالقرصنة هو فيلم Hackers الذي صدر في 1995.

بالنّسبة لشركة تعرّضت للكثير من المشاكل بسبب الثّغرات الأمنيّة على مرّ السنين فليس من الغريب أن تكون فيسبوك شغوفة بتحديد الثّغرات ومعالجتها واستغلالها، حيث بلغت مكافآت فيسبوك 7.5 مليون دولار منذ إنشائه في عام 2011، وحصل أندرو ليونوف على 40،000 دولار لاكتشاف خطأ أمني في برنامج أمان تابع لجهة خارجية يمكن أن تؤثر على Facebook نفسها.

اقرأ أيضًا: ما هي أشهر اضافات ووردبريس وأكثرها أهمية؟ خيارات كثيرة ومتنوعة عليك إلقاء نظرة عليها إن كنت تملك موقعًا إلكترونيًا!