22 শে মার্চ, 2018-এ, Netflix একটি "বাগ বাউন্টি" প্রোগ্রাম শুরু করেছে যা হ্যাকারদের ক্ষতিপূরণ দেয় যারা কোম্পানির কাছে দুর্বলতার রিপোর্ট করে৷ এটি এমন কিছু যা কোম্পানিটি গত পাঁচ বছর ধরে করেছে, কিন্তু শুধুমাত্র একটি সীমাবদ্ধ সেটিংয়ে। এখন যেহেতু এটি জনসাধারণের জন্য প্রোগ্রামটি উন্মুক্ত করেছে, এতে প্রচুর পরিমাণে হ্যাকাররা সাইটটি ব্যাপকভাবে দেখবে৷
এই অভ্যাসটি কিছুটা বিশৃঙ্খল বলে মনে হতে পারে, কিন্তু অনেক লোক দাবি করে যে আপনার ওয়েবসাইট হ্যাক করার জন্য অপরিচিতদের অর্থ প্রদান করা সম্ভাব্য হুমকির বিরুদ্ধে এটিকে সুরক্ষিত করার অন্যতম কার্যকর উপায়। যাইহোক, প্রশ্ন হল, বাগ বাউন্টি প্রোগ্রামগুলি ইন-হাউস পেনিট্রেশন টেস্টিং টিমের চেয়ে সত্যিই বেশি কার্যকর কিনা৷
পেনিট্রেশন টেস্টিং কিভাবে কাজ করে
অনুপ্রবেশ পরীক্ষা উন্নয়ন চক্রের একটি স্বাভাবিক অংশ যা সাধারণত একটি পণ্য জনসাধারণের কাছে প্রকাশ করার আগে করা হয়। এটি আউটসোর্স বা অভ্যন্তরীণ ব্যক্তিদের একটি দলকে জড়িত করে যারা সফ্টওয়্যার বা সিস্টেমটিকে "হ্যাক" করার চেষ্টা করে যা কোম্পানি প্রকাশ করতে চায়। তারপরে তারা প্ল্যাটফর্মে পাওয়া সমস্ত দুর্বলতাগুলি রিপোর্ট করে, যা পরবর্তীতে উপদ্রব হওয়ার আগে বিকাশকারীদের এই সমস্যাগুলি সমাধান করতে দেয়৷
অনুপ্রবেশ পরীক্ষার সময়, দলটি সাধারণত সমস্ত সম্ভাব্য দুর্বলতা উন্মোচন করার জন্য একটি সেট পদ্ধতি অনুসরণ করে। এটি এমন কৌশলগুলি ব্যবহার করতে পারে যা হ্যাকাররা সাধারণত সিস্টেম এবং সফ্টওয়্যারে অনুপ্রবেশ করতে ব্যবহার করে। আপনি যা শেষ করেছেন তা হল আপনার সফ্টওয়্যারের গুরুত্বপূর্ণ ক্ষেত্রগুলির একটি বিস্তৃত তালিকা যা বেশিরভাগ হ্যাকাররা পরিবর্তন করতে সক্ষম হবে৷
কী বাগ বাউন্টিকে এত আকর্ষণীয় করে তোলে?
আপনি যখন একটি বাগ বাউন্টি প্রোগ্রাম তৈরি করেন, তখন আপনি মূলত জনসাধারণকে বলছেন যে আপনি যে কাউকে একটি নির্দিষ্ট পরিমাণ অর্থ প্রদান করতে ইচ্ছুক যে আপনার কাছে একটি উল্লেখযোগ্য দুর্বলতার প্রতিবেদন করতে পরিচালনা করে। একটি সফল বাগ বাউন্টি চালানোর জন্য, আপনাকে কয়েকটি প্রাথমিক নিয়ম সেট করতে হবে যাতে লোকেরা জানতে পারে এই ধরনের অনুসন্ধানের সময় কোন ধরনের আচরণ অগ্রহণযোগ্য৷
এই ধরনের নীতি থাকা কতটা পাল্টা স্বজ্ঞাত মনে হতে পারে তা সত্ত্বেও, বাগ বাউন্টিগুলি ঐতিহ্যগত অনুপ্রবেশ পরীক্ষার তুলনায় একটি নির্দিষ্ট সংখ্যক সুবিধা অফার করে:
- সমস্ত সফ্টওয়্যার পুঙ্খানুপুঙ্খভাবে ঝাড়ু দেওয়ার জন্য একটি প্রণোদনা তৈরি করে, একটি দুর্বলতা পাওয়া গেলে অনুদানে অংশগ্রহণকারীদের অর্থ প্রদান করা হয়। অনুপ্রবেশ পরীক্ষা এই প্রণোদনাগুলি উপস্থাপন করে না, যেহেতু দলের সদস্যরা যতই পুঙ্খানুপুঙ্খভাবে হোক না কেন তাদের অর্থ প্রদান করা হয়।
- বাউন্টিগুলি হাজার হাজার দক্ষ হ্যাকারকে তাদের দক্ষতা পরীক্ষা করার সুযোগ দেয়, অবিশ্বাস্য সংখ্যক দৃষ্টিকোণ প্রদান করে। অনুপ্রবেশ পরীক্ষার দলগুলি আকারে সীমাবদ্ধ থাকে। তাদের দক্ষতা যাই হোক না কেন, তাদের দৃষ্টিভঙ্গি সীমিত।
- অনেক বাগ বাউন্টি অংশগ্রহণকারী দক্ষ পূর্ণকালীন পেশাদার যারা একই সময়ে বিভিন্ন শিকারে অংশগ্রহণ করে।
- বিশাল "আক্রমণ সারফেস" সহ কোম্পানিগুলি (অর্থাৎ লঙ্ঘনের প্রবণ সফ্টওয়্যার) এমন বাগগুলি উন্মোচন করতে পারে যা আগে তাদের নিজস্ব দলগুলি ছেড়ে দিয়েছিল৷
কেন অনুপ্রবেশ পরীক্ষা এখনও প্রাসঙ্গিক
বাগ বাউন্টিগুলি অসাধারণ এবং সব কিছু হতে পারে, কিন্তু সেগুলি অগত্যা এমন কোম্পানিগুলির জন্য কাজ করে না যেগুলির বিশাল সম্প্রদায় নেই৷ এই কারণেই অনুপ্রবেশ পরীক্ষা এখনও একটি বড় ঘটনা। আপনি যদি একটি মেডিকেল সাপ্লাই সফ্টওয়্যার কোম্পানি হন, উদাহরণস্বরূপ, আপনি হাজার হাজার লোকের সম্প্রদায়ের সাথে একটি ভিডিও গেম স্টুডিওর মতো অনেক ইচ্ছুক অংশগ্রহণকারী নাও পেতে পারেন৷
পেনিট্রেশন টেস্টিং এখনও অন্যান্য সুবিধা প্রদান করে যা কোম্পানিগুলিকে বাগ বাউন্টির ধারণাকে সম্পূর্ণরূপে পরিত্যাগ করতে রাজি করতে পারে:
- আপনি আপনার দুর্বলতাগুলিকে ঠিক করার সুযোগ পাওয়ার আগে জনসাধারণের সামনে উন্মোচিত হওয়ার ঝুঁকি কমিয়ে দেন৷ এমনকি যদি আপনি আপনার বাগ বাউন্টিতে এটির বিরুদ্ধে একটি নিয়ম সেট করেন, লোকেরা এটির ভুল ব্যাখ্যা করতে বাধ্য৷
- আউটসোর্সড পেনিট্রেশন টেস্টিং কোম্পানিগুলি আপনার গ্রাহকদের জন্য গুরুত্বপূর্ণ সার্টিফিকেশন অফার করতে পারে৷
- অনুপ্রবেশ পরীক্ষায় প্রতিবেদনের মান প্রায়ই অনেক বেশি।
- এটি অত্যন্ত নিয়ন্ত্রিত বাজারে (যেমন অর্থপ্রদান প্রক্রিয়াকরণ এবং ব্যাঙ্ক/ডেবিট/ক্রেডিট কার্ড ডেটা পরিচালনা করে এমন কিছু) কাজে লাগে।
বাগ বাউন্টি প্রোগ্রামের কারণে আপনি কি Netflix ব্যবহার করে নিরাপদ বোধ করেন? নাকি পেনিট্রেশন টেস্টিং টিমের সাথে কাজ করা কোম্পানির ভালো হতো? একটি মন্তব্যে এটি সম্পর্কে আমাদের সব বলুন!
