Bug Hunter ajari Apple tentang Bug
Posted by y3dips on July 16 2010 14:32:28
Adalah Wu Shi, seorang hacker dari China yang telah menemukan sebanyak 15 bug dari 64 bug yang di patch oleh Apple baru-baru ini, sementara internal Apple sendiri hanya menemukan 6 buah bug sahaja. Wu Shi yang sejak 2007 telah aktif menemukan dan melaporkan lebih dari 100 celah pada web browser, seperti IE, safari dan chrome bahkan di 2010 dia telah menjual lebih dari 50 celah temuannya ke ZDI, iDefense, HPQ, dan Verisign.

Penemuan bug pada Web browser Safari besutan Apple yang lebih banyak dibandingkan oleh internal Apple sendiri bahkan mengindikasikan agar Apple sebaiknya merekrutnya saja, atau setidaknya belajar dari peneliti China yang berbasis di Shanghai ini.

Wu Shi sendiri mengemukakan bahwa dalam melakukan pencarian bug, dia menciptakan framework sendiri, framework yang akan mengenerate file-file yang nantinya di publish via Apache web server miliknya, memudahkan dia untuk melakukan test secara rutin dan kompleks.
Extended News
Adalah Wu Shi, seorang hacker dari China yang telah menemukan sebanyak 15 bug dari 64 bug yang di patch oleh Apple baru-baru ini, sementara internal Apple sendiri hanya menemukan 6 buah bug sahaja. Wu Shi yang sejak 2007 telah aktif menemukan dan melaporkan lebih dari 100 celah pada web browser, seperti IE, safari dan chrome bahkan di 2010 dia telah menjual lebih dari 50 celah temuannya ke ZDI, iDefense, HPQ, and Verisign.

Penemuan bug pada Web browser Safari besutan Apple yang lebih banyak dibandingkan oleh internal Apple sendiri bahkan mengindikasikan agar Apple sebaiknya merekrutnya saja, atau setidaknya belajar dari peneliti China yang berbasis di Shanghai ini.

Wu Shi sendiri mengemukakan bahwa dalam melakukan pencarian bug dia menciptakan framework sendiri, framework yang akan mengenerate file-file yang nantinya di publish via Apache web server miliknya, memudahkan dia untuk melakukan test secara rutin dan kompleks.

Wu Shi yang awalnya membuat perusahaan IT kecil-kecilan dan kemudian beralih menjadi bug hunter dikarenakan kondisi ekonomi dan perusahaannya yang memburuk. Wu Shi awalnya akan langsung melaporkan bug yang dia temukan ke pihak vendor, sampai ada seorang teman yang memberitahukannya soal menjual "bug" yang dia temukan tersebut.

Insiden terakhir yang berkaitan dengan Full-disclosure antara karyawan google dengan Microsoft, tampaknya akan semakin membangkitkan minat para bug-hunter untuk menjual "bug" temuannya dibandingkan melaporkan pada Vendor. Sementara langkah terbaru yang di tempuh oleh mozzila untuk memberikan "upah" sebesar $3000 dollar kepada para bug hunter adalah salah satu cara yang di reponse cukup baik oleh komunitas, setelah sebelumnya google mengumumkan jumlah sebesar $1337 USD untuk para penemu bug tersebut.

Referensi:
http://www.forbes.com/2010/07/14/apple-microsoft-security-technology-wu-shi_2.html
http://blog.mozilla.com/security/2010/07/15/refresh-of-the-mozilla-security-bug-bounty-program/