နည္းပညာကုမၸဏီႀကီးမ်ား၏ အၿပိဳင္အဆိုင္ Bug Bounty
Bug Bounty Program ဆိုသည္မွာ Website မ်ား
Server မ်ားအစရွိသည္တို႔၏ အားနည္းခ်က္ Vulnerability ေတြ Bug ေတြနဲ႔ Exploit ေတြကို
အခေၾကးေငြေပးၿပီး တရားဝင္ရွာေဖြခြင့္ျပဳထားတဲ့ Program တစ္ခုပဲျဖစ္ပါတယ္။ Bug ဆုိတာကေတာ့
ျမန္မာလုိ တုိက္ရုိက္အဓိပၸါယ္ျပန္ရရင္ ဂ်ပုိးပါ။ ဂ်ပုိးဆုိတာက လူျမင္ႏုိင္ေသာ ေနရာမွာ
ပုန္းကြယ္ေနေသာ အေကာင္ေသးေသးေလးေတြပါ။ လူကုိ အင္မတန္ ဒုကၡေပးပါတယ္။ ထုိ႕အတူ IT နည္းပညာ
အေခၚအေ၀ၚအားျဖင့္ ရွာေဖြရခက္ျပီး ဒုကၡအလြန္ေပးေသာ အမွားမ်ားကုိ Bug ဟု တင္စားျပီး ေခၚေ၀ၚၾကျခင္း
ျဖစ္ပါတယ္။ Bug Program အတြက္ လြယ္လြယ္ေျပာရရင္ေတာ့ သင္ဟာ အားနည္းခ်က္ အသစ္တစ္ခုကို
ရွာေဖြထိုးေဖာက္ျပႏိုင္ရင္ေတာ့ ထိုက္ထိုက္တန္တန္ ဆုခ်ီးျမင့္ျခင္း ခံရမွာပဲျဖစ္ပါတယ္။
ဆုခ်ီးျမင့္ေငြဟာ ျမန္မာေငြႏွင့္ တြက္ခ်က္ၾကည့္မယ္ဆိုရင္ေတာ့ အနည္းဆုံး သိန္းရာခ်ီပမာဏ
ရွိပါတယ္။
ယခင္ကတည္းက နာမည္ႀကီးကုမၸဏီမ်ားျဖစ္ၾကသည့္
Apple ၊ Pornhub အစရွိသည့္ ကုမၸဏီမ်ားသည္ Bug Bountry Program မ်ားေရးဆြဲျပီး ၎တုိ႕၏
Server မ်ားတြင္ ရွိေနႏုိင္ေသာ အားနည္းခ်က္ေတြကို ဆုေၾကးေငြေပးၿပီး ရွာေဖြမွူ႕မ်ား
ျပဳလုပ္ေစခဲ့ပါတယ္။ ထုိသုိ႕ ျပဳလုပ္ျခင္းေၾကာင့္ အဆိုပါ Servers မ်ားကို လြယ္လင့္တကူ
ထိုးေဖာက္ျခင္း ခံရႏိုင္တဲ့ Vulnerability အားနည္းခ်က္မ်ားကုိ အခ်ိန္မွီ ျပင္ဆင္ႏုိင္ျပီး
အားနည္းခ်က္မ်ား အမွန္တကယ္ ရွိေနခဲ့ရင္ေတာင္ အလြယ္တကူ ထုိးေဖာက္တုိက္ခုိက္ႏိုင္ဖို႔
လုံးဝမျဖစ္ေလာက္ေအာင္ ကာကြယ္ေပးႏိုင္စြမ္းေတြ ျမင့္မားလာပါတယ္။
ထုိကဲ့သုိ႕ ကာကြယ္ႏိုင္မႈစြမ္းအားေတြ ျမင့္တက္ၿပီး
အားနည္းခ်က္မ်ား ရွားပါးလာတဲ့အခါ ဟက္ကာ (Hackers) ေတြအတြက္ ခက္ခဲ႐ႈပ္ေထြးၿပီး အလြယ္တကူ
ေျဖရွင္းမရႏုိင္ေသာ Vulnerability အားနည္းခ်က္ေတြကို အခ်ိန္ေပးၿပီး ႀကိဳးစားရွာေဖြေပးရမယ့္
အေျခအေနတစ္ခု ျဖစ္ေပၚလာပါတယ္။ အခ်ိန္ပိုၿပီးေပးရမွာျဖစ္သလုိ ပိုၿပီးခက္ခဲလာတဲ့အတြက္ေၾကာင့္
ကုမၸဏီႀကီးမ်ားအေနႏွင့္ ဟက္ကာ (Hackers) ေတြကို လြယ္လင့္တကူ စိတ္ပ်က္မသြားေအာင္ လုပ္ေဆာင္ေပးဖို႔
လိုအပ္လာပါတယ္။ အဆိုပါ အျခင္းအရာမ်ားကို ၾကိဳတင္သိၿပီးသားျဖစ္တဲ့ နည္းပညာမဟာ ကုမၸဏီႀကီးမ်ားသည္လည္း
Bug Bounty ေၾကးေတြကို တိုးျမင့္ေပးလိုက္ပါတယ္။
Microsoft မွ ယခင္ အေမရိကန္ေဒၚလာ ၁၅၀၀၀
မွ ယခု ၃၀၀၀၀ ထိတိုးျမင့္လိုက္ၿပီး Google မွ ယခင္ အေမရိကန္ေဒၚလာ ၂၀၀၀၀ မွ ယခု ၃၁၃၃၇
ထိတိုးျမင့္လိုက္ျခင္းပါတယ္။ Google ရဲ႕အဆိုပါေစ်းႏႈန္းဟာ ယခင္ေစ်းႏႈန္း ေဒၚလာ ၁၃၃၇
က်ပ္ကို ၅၀ ရာခိုင္ႏႈန္း ေပါင္းထည့္ေပးတဲ့
ေငြေၾကးပမာဏႏွင့္ ညီမၽွေနပါတယ္။
Google မွ Bug Bounty Program အတြက္
Vulnerability အလိုက္ သတ္မွတ္ေပးထားေသာ ေစ်းႏႈန္းမ်ားကိုေတာ့ ပုံမွာေဖာ္ျပေပးထားပါတယ္။
စာရင္းအရ RCE (Remote Code Execution) အတြက္ Google မွ အေမရိကန္ေဒၚလာ ၂၀၀၀၀ နဲ႔
Database Access Bug အတြက္ အေမရိကန္ေဒၚလာ ၁၀၀၀၀ ယခင္ကသတ္မွတ္ခဲ့ေပမယ့္ အခုအခါမွာေတာ့
အေမရိကန္ေဒၚလာ ၃၁၃၃၇ နဲ႔ ၁၃၃၃၇ အသီးသီးတိုးသြားပါတယ္။ Google ရဲ႕ဆုေၾကးေငြပမာဏဟာ ၂၀၁၀
ကတည္းကေန ယေန႔အထိစုစုေပါင္းေဒၚလာ ၉ သန္းေက်ာ္သြားၿပီျဖစ္ပါတယ္။ ယမန္ႏွစ္ ၂၀၁၆ တစ္ႏွစ္တည္းအတြင္းမွာတင္ကို
၃ သန္းအထိရွိပါတယ္။
Microsoft မွလည္း XSS, CSRF, Privilege
Escalation Bugs စတဲ့အားနည္းခ်က္ေတြအတြက္ အေမရိကန္ေဒၚလာ ၂၀၀၀၀ − ၃၀၀၀၀ အထိ တိုးျမင့္ေပးလိုက္ပါတယ္။
အခုလို နည္းပညာကုမၸဏီႀကီးမ်ားသည္ မိမိတို႔၏ ထုတ္ကုန္ေတြမွာ အားနည္းခ်က္ေတြကို ကာကြယ္ႏိုင္ၿပီး
လုံၿခဳံမႈေရး ေကာင္းမြန္ဖို႔အတြက္ လုပ္ေဆာင္ျပေနၾကပုံဟာ အင္မတန္ ေလးစားဖို႔ေကာင္းလွပါတယ္။ ေနာက္ၿပီး ဟက္ကာ (Hackers) ေတြအတြက္ အရမ္းခ်မ္းသာႏိုင္မယ့္
အခြင့္အေရး တစ္ခုလည္း ျဖစ္ေနပါတယ္။ မက္ေမာစရာေကာင္းလွတဲ့ ေငြေၾကးေတြေၾကာင့္
Security Researcher မ်ားအေနျဖင့္ ရွာေဖြဖို႔ခက္ခဲလွတဲ့ Vulnerability ေတြကို ႀကိဳးစားရွာေဖြၾကလိမ့္မယ္လို႔
ယူဆရပါတယ္။ ကၽႊန္ေတာ္္တို႔ႏိုင္ငံမွာလည္း အဆိုပါ Bugs မ်ားကိုရွာေဖြႏိုင္တဲ့
Security Researcher ပညာရွင္မ်ား ထြက္ေပၚလာပါေစလို႔ ဆုမြန္ေကာင္းေတာင္းရင္း ဆႏၵျပဳေရးသားလိုက္ရပါတယ္။
11-3-2017
သတင္း စီစဥ္တင္ဆက္သူ - Fr!d@y (MEHN
Team)
နည္းပညာကုမၸဏီႀကီးမ်ား၏ အၿပိဳင္အဆိုင္ Bug Bounty
Reviewed by Myanmar Ethical Hacking News
on
6:41 PM
Rating:
Reviewed by Myanmar Ethical Hacking News
on
6:41 PM
Rating:
No comments: