Kun en hacker kan tænke som en hacker. Så når det kommer til at blive “hacker-sikker”, skal du muligvis henvende dig til en hacker.
Applikationssikkerhed har altid været et varmt emne, der kun er blevet varmere med tiden.
Selv med en horde af defensive værktøjer og praksis til vores rådighed (firewalls, SSL, asymmetrisk kryptografi osv.), kan ingen webbaseret applikation hævde, at den er sikker uden for hackernes rækkevidde.
Hvorfor det?
Den simple grund er, at byggesoftware forbliver en meget kompleks og skrøbelig proces. Der er stadig fejl (kendte og ukendte) inde i fundamentet, som udviklere bruger, og nye bliver skabt med lanceringen af ny software og biblioteker. Selv de øverste tech-virksomheder er klar til lejlighedsvis forlegenhed, og det med en god grund.
Indholdsfortegnelse
Nu hyrer . . . Hackere!
I betragtning af at fejl og sårbarheder sandsynligvis aldrig vil forlade softwareområdet, hvor efterlader det så virksomhederne afhængige af denne software for at overleve? Hvordan kan en ny tegnebogsapp for eksempel være sikker på, at den kan modstå hackers grimme forsøg?
Ja, du har gættet det efterhånden: ved at hyre hackere til at komme og tage et knæk på denne nyudviklede app! Og hvorfor skulle de det? Bare fordi der er en stor nok dusør på tilbud – bug-bountyen! 🙂
Hvis ordet “bounty” bringer minder tilbage om det vilde vesten og kugler, der blev affyret uden at blive opgivet, er det præcis, hvad ideen her er. Du får på en eller anden måde de mest elite og vidende hackere (sikkerhedseksperter) til at lyde din app, og hvis de finder noget, bliver de belønnet.
Der er to måder at gøre det på: 1) at være vært for en bug-bounty på egen hånd; 2) ved at bruge en bug bounty platform.
Bug Bounty: Selvvært vs. platforme
Hvorfor skulle du gøre dig den ulejlighed at vælge (og betale) en bug bounty-platform, når du blot kan hoste den på egen hånd. Jeg mener, bare opret en side med de relevante detaljer og lav noget støj på sociale medier. Det kan åbenbart ikke fejle, ikke?
Hacker er ikke overbevist!
Nå, det er en god idé lige der, men se på det fra hackerens perspektiv. At støde efter fejl er ikke nogen let opgave, da det kræver flere års træning, praktisk talt ubegrænset viden om gamle og nye ting, tonsvis af beslutsomhed og mere kreativitet end de fleste “visuelle designere” har (beklager, jeg kunne ikke modstå det! :-P).
Hackeren ved ikke, hvem du er eller er ikke sikker på, at du vil betale. Eller måske ikke er motiveret. Selvhostede dusører fungerer for juggernauts som Google, Apple, Facebook osv., hvis navne folk kan sætte på deres portefølje med stolthed. “Fundet en kritisk login-sårbarhed i HRMS-appen udviklet af XYZ Tech Systems” lyder ikke imponerende, gør det nu (med behørig undskyldning til enhver virksomhed derude, der kan ligne dette navn!)?
Så er der andre praktiske (og overvældende grunde) til ikke at gå solo, når det kommer til bug bounties.
Mangel på infrastruktur
De “hackere”, vi har talt om, er ikke dem, der forfølger Dark Web.
De har ingen tid eller tålmodighed til vores “civiliserede” verden. I stedet taler vi her om forskere med en datalogisk baggrund, som enten er på et universitet eller har været dusørjægere i lang tid. Disse folk ønsker og indsender information i et bestemt format, hvilket er en smerte i sig selv at vænne sig til.
Selv dine bedste udviklere vil kæmpe for at følge med, og mulighedsomkostningerne kan vise sig at være for høje.
Løsning af indsendelser
Til sidst er der spørgsmålet om bevis. Softwaren kan være bygget på fuldt deterministiske regler, men præcis hvornår er et bestemt krav opfyldt er til debat. Lad os tage et eksempel for at forstå dette bedre.
Antag, at du har oprettet en bug-bounty for godkendelses- og autorisationsfejl. Det vil sige, du hævder, at dit system er fri for risikoen for personefterligning, som hackerne skal undergrave.
Nu har hackeren fundet en svaghed baseret på, hvordan en bestemt browser fungerer, som giver dem mulighed for at stjæle en brugers sessionstoken og efterligne dem.
Er det et gyldigt fund?
Fra hackerens perspektiv er et brud bestemt et brud. Fra dit perspektiv, måske ikke, fordi du enten mener, at dette falder inden for brugerens ansvar, eller at browseren simpelthen ikke er en bekymring for dit målmarked.
Hvis alt dette drama foregik på en bug bounty platform, ville der være dygtige dommere til at afgøre virkningen af opdagelsen og lukke problemet.
Med det sagt, lad os se på nogle af de populære bug bounty-platforme derude.
YesWeHack
YesWeHack er en global bug bounty-platform, der tilbyder afsløring af sårbarheder og crowdsourced sikkerhed på tværs af mange lande som Frankrig, Tyskland, Schweiz og Singapore. Det giver en forstyrrende løsning af Bug Bounty til at tackle de trusler, der stiger i takt med stigningen i virksomhedens smidighed, hvor traditionelle værktøjer ikke længere lever op til forventningerne.
YesWeHack giver dig adgang til den virtuelle pulje af etiske hackere og maksimerer testmulighederne. Vælg de jægere, du ønsker, og indsend skoperne, der skal testes, eller del dem med YesWeHack-fællesskabet. Det følger nogle strenge regler og standarder for at beskytte jægernes interesser såvel som dine.
Forbedre din app-sikkerhed ved at udnytte jægerens reaktionsevne og minimere tiden til afhjælpning og registrering af sårbarheder. Du vil kunne se forskellen, når du starter programmet.
Åbn Bug Bounty
Betaler du for meget for bug bounty-programmer?
Prøve Åbn Bug Bounty til test af crowd security.
Dette er en fællesskabsdrevet, åben, omkostningsfri og uintermediær bug-bounty-platform. Derudover tilbyder den ansvarlig og koordineret afsløring af sårbarheder, der er kompatibel med ISO 29147. Til denne dato har den hjulpet med at rette over 641.000 sårbarheder.
Sikkerhedsforskere og fagfolk fra førende websteder som WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha og flere har brugt Open Bug Bounty-platformen til at løse deres sikkerhedsproblemer såsom XSS-sårbarheder, SQL-injektioner osv. Du kan finde meget vidende og lydhøre fagfolk til at få dit arbejde gjort hurtigt.
Hackerone
Blandt bug bounty-programmerne, Hackerone er førende, når det kommer til at få adgang til hackere, oprette dine dusørprogrammer, sprede budskabet og vurdere bidragene.
Der er to måder, du kan bruge Hackerone på: Brug platformen til at indsamle sårbarhedsrapporter og udarbejde dem selv eller lad eksperterne hos Hackerone gøre det hårde arbejde (triaging). Triaging er simpelthen processen med at kompilere sårbarhedsrapporter, verificere dem og kommunikere med hackere.
Hackerone bruges af store navne som Google Play, PayPal, GitHub, Starbucks og lignende, så selvfølgelig er det for dem, der har alvorlige fejl og seriøse lommer. 😉
Bugcrowd
Bugcrowd tilbyder flere løsninger til sikkerhedsvurderinger, en af dem er Bug Bounty. Det giver en SaaS-løsning, der nemt kan integreres i din eksisterende softwarelivscyklus og gør det nemt at køre et vellykket bug bounty-program.
Du kan vælge at have et privat bug bounty-program, der involverer nogle få udvalgte hackere, eller et offentligt program, der crowdsourcer til tusindvis.
SafeHats
Hvis du er en virksomhed og ikke føler dig tryg ved at gøre dit bug bounty-program offentligt – og samtidig har brug for mere opmærksomhed, end en typisk bug bounty-platform kan tilbyde – SafeHats er din sikreste indsats (forfærdeligt ordspil, hva?).
Dedikeret sikkerhedsrådgiver, dybdegående hackerprofiler, deltagelse kun for inviterede – det hele leveres afhængigt af dine behov og modenhed af din sikkerhedsmodel.
Intigriti
Intigriti er en omfattende bug bounty platform, der forbinder dig med white hat hackere, uanset om du vil køre et privat program eller et offentligt.
For hackere er der masser af dusører at få fat i. Afhængigt af virksomhedens størrelse og branche, er bugjagter fra €1.000 til €20.000 tilgængelige.
Synack
Synack ser ud til at være en af de markedsundtagelser, der bryder formen og ender med at gøre noget massivt. Deres sikkerhedsprogram Hack Pentagon var det store højdepunkt, hvilket førte til opdagelsen af flere kritiske sårbarheder.
Så hvis du ikke bare leder efter fejlfinding, men også sikkerhedsvejledning og træning på øverste niveau, Synack er vejen at gå.
Konklusion
Ligesom du holder dig væk fra healere, der proklamerer “mirakelkure”, skal du holde dig væk fra enhver hjemmeside eller tjeneste, der siger, at skudsikker sikkerhed er mulig. Det eneste, vi kan gøre, er at bevæge os et skridt nærmere det ideelle. Som sådan bør bug bounty-programmer ikke forventes at producere nul-fejl-applikationer, men bør ses som en vigtig strategi til at luge ud i de virkelig grimme.
Tjek dette ud bug dusørjagt kursus at lære og opnå berømmelse, belønninger og påskønnelse.
Lær om de største bug-bounty-programmer i verden.
Jeg håber, du knuser mange af dem! 🙂