اكتشاف الثغرات الأمنية لم تعد هواية: أكبر المكافآت المالية التي تم دفعها للقراصنة الأخلاقيين

كانت أول شركات التقنية التي تقدم مكافآت مقابل الثغرات الأمنية التي يتم اكتشافها في أنظمتها هي شركات صانعي متصفحات الويب، حيث يتم تقديم مكافآت مالية ومعنوية للمتسللين الذين يجدون نقاط ضعف في التعليمات البرمجية، والبداية كانت من شركة Netscape في عام 1995 وفعلت موزيلا نفس الشيء في عام 2004.

الهدف من هذه المكافآت هو حث القراصنة (الأخلاقيين منهم) على إخبار الشركة بنقاط الضعف في برامجها وتطبيقاتها قبل أن تصبح نقاط الضعف هذه معروفة للجميع، وبالتالي يتم استغلالها من القراصنة الذين يبحثون عن التخريب وسرقة البيانات. ويعتبر هذا الأمر فوز للطرفين فهي وسيلة لمنع القراصنة أصحاب الأجندات الخفية من استغلال نقاط ضعف البرامج والتطبيقات، وذلك من خلال توظيف القراصنة للمساعدة في تعزيز امأن هذه التطبيقات والبرامج.

في السنوات الأخيرة، أصبحت المنافسة للحصول على المكافآت من الشركات الكبرى مثل جوجل وفيسبوك ومايكروسوفت ميدان حامي الوطيس للقراصنة الذين ينشدون الحصول على المكافآت المالية من هذه الشركات، لأنها عادةً ما تقدم مبالغ كبيرة.

ولاحقًا انضمت العديدة من الشركات التي ظهرت في الفترة الأخيرة مثل Tesla و Yelpو Reddit و Squareو Password 1 و Pinterest و ،Uber التي أصبحت تقدم العديد من المكافآت المغرية التي أصبحت لا تشمل فقط مبالغ مالية، بل في بعض الأحيان يتعدى الأمر للحصول على وظيفة بدوام كامل.

ولكن المكافآت مقابل إكتشاف الثغرات الأمنية أصبحت لا تقتصر على شركات التكنولوجيا وحدها، بل حتى المؤسسات المالية والرعاية الصحية والجهات الحكومية التي لديها برامج حاسوبية وتطبيقات على الانترنت، توحهت لهذا المجال من خلال تقديم المكافآت لقراصنة مستقلين للبقاء آمنين واكتشاف الاختراق الرئيسي التالي.

وأصبحت المكافآت التي تقدم من اجل اكتشاف الثغرات الأمنية أمرًا شائعًا لدرجة أن وسطاء الطرف الثالث مثل BugCrowd و HackerOne موجودون لربط القراصنة بأموال المكافآت. وكما هو مفصل في تقرير Hacker، فقد دفعت الشركة أكثر من 23 مليون دولار إلى المتسللين البالغ عددهم 166,000 في شبكتها وحدها، والذين قاموا باكتشاف أكثر من 72,000 نقطة ضعف في البرامج والتطبيقات المختلفة.

بطبيعة الحال، هناك أيضا بعض السلبيات، فبعض الشركات مثل Exodus Intelligence تقدم  مكافآت أعلى من الشركات الكبيرة، ثم تبيع اشتراكًا للشركات التي تتضمن المعلومات هذه. وهذا ليس بالأمر السيئ بالضرورة، فمن المهم العثور على نقاط الضعف في البرامج والتطبيقات المختلفة قبل أن تنتشر ويتم استغلالها بشكل سيء.

في السطور التالية سنلقي نظرة على أكبر المكافآت التي تم تقديمها للقراصنة مقابل جهودهم في إكتشاف الثغرات الأمنية في البرامج والتطبيقات المختلفة.

في أبريل من العام 2018، قامت الشركة المعروفة سابقًا باسم Oath Inc بتقديم مبلغ 400,000 إلى 40 مشاركًا في حدث H1-415 التي نظمته مؤسسة HackerOne وقامت شركةOath/Verizon Media، التي تمتلك شركتي Yahoo وAOL، بتخصيص 400 ألف دولار أخرى في حدث منفصل في نوفمبر 2018 للمتسللين الذين حددوا 159 نقطة ضعف أمنية حرجة.

بعد نجاح فعاليات هذا الحدث، أنشأت الشركة برنامج مكافآت الأخطاء، ومن خلالها تم دفع 5 ملايين دولار في عام 2018 للقراصنة والباحثين الذين وجدوا أخطاء من مستويات التهديد المختلفة عبر منصات متعددة.

في العام 2018 نظمت شركة مايكروسوفت حدث بارز على مستوى إكتشاف الثغرات الأمنية في أنظمتها، حيث بلغت المكافآت المالية التي تم تقديمها مقابل إكتشاف الثغرات الأمنية مليوني دولار، ولكن بعد ذلك توقفت مايكروسوفت عن إصدار معلومات حول المكافآت الفردية بالإضافة إلى المبالغ المقدمة وبالطبع مستوى وشدة الثغرات المكتشفة من قِبل القراصنة.

لكن أكبر مكافأة تُمنح لشخص واحد من قبل شركة مايكروسوفت كانت من نصيب فاسيليس باباس Vasilis Pappas، الذي حصل على 200,000 دولار في عام 2012 عندما كان طالب دكتوراه بجامعة كولومبيا.

قام باباس بتقديم أفكار للمساعدة في حل مشكلة أمنية صعبة للغاية تسمى “البرمجة الموجهة نحو العودة Return-Oriented Programming والتي تُعرف إختصارًا ب “ROP وهي تقنية للقراصنة تستخدم غالبًا لتعطيل عناصر تحكم أمان الكمبيوتر الخاصة بالبرنامج أو التحايل عليها. وقام الفائز بإنشاء برنامج يسمى kBouncer والذي يمنع أي شيء يشبه هجوم ROP.

يعود برنامج مكافآت إكتشاف الثغرات الأمنية التي تقدمها جوجل إلى عام 2010، ومنذ ذلك الحين تم دفع أكثر من 15 مليون دولار، منها 3.4 مليون دولار تم منحها في عام 2018 (1.7 مليون دولار منها تركز على إكتشاف الأخطاء في نظام التشغيل اندرويد والمتصفح كروم) وكان أكبر مبلغ فردي تم دفعه في العام الماضي منحة قدرها 41,000 دولار لباحث غير محدد.

ومن بين المنح العامة، تلقىEzequiel Pereira  البالغ من العمر 19 عامًا من أوروغواي 36,000 دولار لاكتشافه خطأ أمني يتعلق بتنفيذ التعليمات البرمجية عن بُعد في وحدة التحكم في Cloud Platform من جوجل.

بالنسبة لشركة تعاني من بعض الهفوات الأمنية على مر السنين، فليس من المستغرب تمامًا أن يكون فيسبوك حريصًا على تحديد ثغراتها الأمنية ومعالجتها أول بأول. دفع برنامج مكافأة الأخطاء على الشبكة الاجتماعية مبلغ 7.5 مليون دولار منذ إنشائه في عام 2011.

وكان باحث الأمن الروسي أندرو ليونوف Andrew Leonov صاحب أعلى سجل مكافأة بعد حصوله على 40,000 دولار من فيسبوك لاكتشافه عيب أمني في برنامج أمان تابع لجهة خارجية يمكن أن تؤثر على فيسبوك نفسها .بينما المبلغ الأكبر والبالغ 50,000 تم دفعه في العام الماضي لأحد الباحثين الأمنين بعد اكتشافه خطأ في آلية اشتراك مطور فيسبوك الذي يتيح له معرفة الإخطارات بشأن أنواع معينة من نشاط المستخدم.

لمدة شهر واحد في عام 2016، قالت وزارة الدفاع الأمريكية أن هنالك 250 محاولة من القراصنة لإكتشاف الثغرات الأمنية بأنظمة الوكالات الحكومية الأمريكية، ووجدت 138 نقطة ضعف حددتها وزارة الدفاع بأنها “شرعية وفريدة ومؤهلة للحصول على مكافأة” وعلى الرغم من أن برنامج مكافأة الأخطاء قد كلف الحكومة الفيدرالية حوالي 150,000 دولار، إلا أن المسؤولين يعتقدون أنه قد تم إنفاق الأموال بشكل جيد.

وقال وزير الدفاع وقتها أشتون كارتر:

في عام 2018، وسعت وزارة الدفاع برنامج مكافآت الاختراق إلى عدد كبير من البرامج الجديدة التي استضافتها HackerOne، والتي استهدفت الأنظمة الحكومية المملوكة للجيش والقوات الجوية ومشاة البحرية ونظام الدفاع الجوي. وتم تقديم مكافآت مالية مجتمعة بلغت 500,000 دولار للمتسللين الذين اكتشفوا حوالي 5000 نقاط ضعف فريدة من نوعها عبر قواعد البيانات والمواقع الحكومية.

معظم شركات الطيران لا تمنح مبالغ مالية للقراصنة لقاء إكتشاف الثغرات الأمنية في أنظمتها، ولكنها بالمقابل تمنح الآلاف من الأميال المجانية على طائراتها كمكافأة.

ومن بين هذه الشركات الخطوط الجوية المتحدة، والتي قدمت للعديد من الباحثين الأمنيين الآلاف من أميال السفر المجانية في العام الماضي، وكان اكثر المحظوظين هو أوليفير بيج Olivier Beg، الباحث الأمني البالغ من العمر 19 عام من هولندا، الذي تلقى مليون ميل مكافأة له لإيجاده حوالي 20 خطأ مختلف في أنظمة شركة الطيران.