Il concorso "Cattura la moneta" di CrowdCurity premia i bug finders con Bitcoin

La startup di sicurezza informatica CrowdCurity, che sfrutta il crowdsourcing, ha creato un nuovo programma bug bounty con una particolarità unica.

intitolatoCattura la moneta, il programma si ispira al notocattura la bandieragioco, che mira a premiare i ricercatori di sicurezza che individuano le chiavi private Bitcoin nascoste nel front-end delle piattaforme web.

Curiosità della folla

sta testando l'idea sul proprio sito web per iniziare, e la sta lanciando come una competizione a premi in Bitcoin .

Jacob Hanson, CEO di CrowdCurity, ha dichiarato a CoinDesk:

"Troviamo che sia un approccio interessante per testare sostanzialmente la sicurezza della nostra piattaforma."

Come funziona

Per il concorso, CrowdCurity ha creato tre portafogli cartacei che conservano i Bitcoin offline. Ognuno è in quantità diverse, in base al valore percepito della possibile intrusione nella sicurezza che la vulnerabilità rappresenta.

Tuttavia, le chiavi private di questi portafogli sono nascoste nel codice del loro sito web e attendono Da scoprire da chi ha le competenze necessarie.

Ci sono tre diverse ricompense: la ricompensa Nakamoto da 1,5 BTC , la ricompensa Dorian da 1 BTC e la ricompensa Scytale da 0,5 BTC . Inoltre, ognuna ha i suoi indizi per aiutare i ricercatori, che sono dettagliati sul blog dell'azienda.

Ogni ricompensa è per una vulnerabilità molto specifica, rendendo questo un programma di ricompensa per bug piuttosto diverso dal normale. Ad esempio, il programma di ricompensa per bug di Google ha ungrafico che usa per calcolare le ricompense.

CrowdCurity vuole sperimentare uno stile di ricompensa più competitivo con Capture the Coin.

Hansen ha affermato:

"[Con Bitcoin] puoi attribuire un valore monetario alle vulnerabilità. La maggior parte delle aziende regala premi in base ai livelli, ma Capture the Coin offre una migliore granularità e aggiustamenti per i programmi di ricompensa."

Monetizzare le vulnerabilità

Nei diversi importi Bitcoin , CrowdCurity ha impostato un valore specifico per le vulnerabilità di diversi livelli di difficoltà. Ad esempio, il primo posto 1.5 BTC Nakamoto Reward dovrebbe essere ONE osso decisamente più duro da rompere, poiché solo CrowdCurity dovrebbe già saperlo.

Hansen ritiene che la creazione di un mercato per le vulnerabilità mediante l'utilizzo di chiavi private per i portafogli Bitcoin potrebbe cambiare il modo in cui i ricercatori di sicurezza competono nei programmi bug bounty:

"Abbiamo quantità diverse in ciascuna di queste diverse chiavi private. Le diverse quantità corrispondono alla criticità dei bug che l'azienda vede effettivamente nel sistema."

E se qualcuno trova la chiave privata, il possesso del portafoglio è immediato. Non c'è attesa che qualcuno decida una ricompensa come nei normali schemi di bug bounty.

Trasparenza della sicurezza

La capacità della blockchain di rendere pubbliche tutte le transazioni implica che, in teoria, i futuri sistemi di sicurezza che utilizzano ricompense in Criptovaluta in stile Capture the Coin potrebbero offrire maggiore trasparenza.

Hansen sostiene che la blockchain sia "un sistema di rilevamento delle intrusioni grazie al quale possiamo monitorare gli indirizzi Bitcoin e verificare se vengono utilizzate chiavi private".

La maggior parte dei sistemi di rilevamento delle intrusioni nella sicurezza informatica sono di natura passiva, ovvero progettati per attendere che venga violata una determinata soglia e poi viene emessa una notifica di avviso.

Con il monitoraggio delle transazioni basato sulla blockchain, un sistema più reattivo potrebbe riuscire a mitigare rapidamente un'intrusione.

Spiegò Hansen:

"Essere in grado di monitorare i movimenti su un account [ Bitcoin] è in realtà un sistema molto reattivo. Puoi costruire una certa catena di reazioni una volta che vedi un certo movimento avvenire [sulla blockchain]."

Mai sicuro al 100%

La principale strategia aziendale di CrowdCurity è stata quella di ricorrere al crowdsourcing per ottenere premi per la sicurezza IT per ottenere risultati, invece di pagare costosi consulenti in cambio del loro tempo, cosa che considera un approccio dirompente nel settore.

Quest'ultimo è un modello che, secondo l'azienda, viene utilizzato da molte aziende Bitcoin , che rappresentano circa la metà dell'attuale base clienti di CrowdCurity.

Nessuna azienda è mai completamente protetta dalle minacce alla sicurezza, e poichéfurti e violazioni della sicurezzasono in aumento, sono necessari metodi innovativi per contrastare gli intrusi.

Capture the Coin è il test di CrowdCurity per verificare in che modo Bitcoin può contribuire a rafforzare la sicurezza web front-end nell'ambito della propria attività.

"Speriamo che in futuro saremo in grado di fornire questo servizio ai clienti", ha affermato Hansen.

Sicurezza basata sulle criptovalute

Utilizzare le Criptovaluta per incentivare e rendere più trasparenti i problemi di sicurezza sembra un'estensione logica del modello di business di crowdsourcing di CrowdCurity.

Le chiavi private dei portafogli Bitcoin incorporate nei siti web potrebbero finire per essere utilizzate come "honey pot", una tattica di sicurezza informatica progettata per attirare possibili ladri, così da rintracciarli e coglierli in flagrante.

E il metodo di tracciamento per questo honeypot potrebbe sfruttare la potenza del registro della blockchain, qualcosa che prima non era possibile.

Hansen ha affermato:

"Ora abbiamo denaro programmabile. E puoi fare questo genere di cose in sicurezza che prima non si potevano fare."

"T puoi farlo con PayPal. T puoi farlo con denaro normale. È molto, molto interessante", ha aggiunto.

Immagine del codice Bitcointramite Shutterstock