Pouze hacker dokáže uvažovat jako hacker. Takže, pokud je vaším cílem dosáhnout „hacker-odolnosti“, možná bude nutné obrátit se na samotné hackery.
Zabezpečení aplikací je téma, které si neustále získává na významu a důležitosti.
Přestože máme k dispozici celou řadu obranných mechanismů a postupů (firewally, SSL, asymetrická kryptografie a další), žádná webová aplikace nemůže s jistotou prohlašovat, že je zcela chráněna před útoky hackerů.
Proč je tomu tak?
Důvod je jednoduchý: proces tvorby softwaru je stále velmi komplexní a náchylný k chybám. Stále se objevují chyby (známé i dosud neodhalené) v základech, které vývojáři používají, a s každým novým softwarem a knihovnou se objevují další. I největší technologické společnosti musí počítat s občasnými nepříjemnostmi, a to z dobrého důvodu.
Najímáme… Hackery!
Vzhledem k tomu, že chyby a zranitelnosti jsou neodmyslitelnou součástí softwaru, jak si s tím mají poradit společnosti, které na tomto softwaru závisí? Jak například může být nová aplikace pro peněženku jistá, že odolá pokusům hackerů o průnik?
Odpověď je: najmout hackery, aby si nově vytvořenou aplikaci důkladně proklepli! A proč by to dělali? Protože je za to nabízena dostatečně vysoká motivace – odměna za nalezené chyby!
Pokud se vám při slově „odměna“ vybaví Divoký západ a střelba, tak jste na správné stopě. Jde o to motivovat ty nejlepší a nejzkušenější hackery (odborníky na bezpečnost), aby prověřili vaši aplikaci, a pokud najdou nějaké nedostatky, dostanou za to zaplaceno.
Existují dva způsoby, jak toho dosáhnout: 1) Zorganizovat program odměn za chyby na vlastní pěst; 2) Využít platformu pro odměny za chyby.
Odměny za chyby: Vlastní správa vs. Platformy
Proč byste si měli dělat starosti s výběrem (a placením) platformy pro odměny za chyby, když si ji můžete vytvořit sami? Stačí přece vytvořit stránku s potřebnými detaily a udělat trochu hluku na sociálních sítích. To přece nemůže selhat, že?
Hacker to ale nevidí tak jednoduše!
I když je to skvělý nápad, podívejme se na to z pohledu hackera. Hledání chyb není jednoduchý úkol, vyžaduje roky tréninku, prakticky neomezené znalosti starých i nových technologií, hodně odhodlání a více kreativity, než má většina „vizuálních designérů“ (omlouvám se, nemohl jsem si pomoct! :-P).
Hacker neví, kdo jste, a nemůže si být jistý, že dostane zaplaceno. A možná pro něj ani nejste dostatečně motivující. Vlastní programy odměn fungují pro giganty jako Google, Apple, Facebook, jejichž jména si mohou hackeři s hrdostí uvádět do portfolia. „Našli jsme kritickou zranitelnost při přihlašování v aplikaci HRMS vyvinuté společností XYZ Tech Systems“ nezní zrovna působivě, že? (s omluvou jakékoli firmě, která by se s tímto názvem mohla ztotožnit!).
A pak jsou tu další praktické (a zásadní) důvody, proč se do odměn za chyby pouštět na vlastní pěst.
Nedostatek infrastruktury
„Hackeři“, o kterých mluvíme, nejsou ti, kteří se pohybují v hlubinách Dark Webu.
Ti nemají čas ani trpělivost pro náš „civilizovaný“ svět. Mluvíme o výzkumnících v oblasti informatiky, kteří buď studují na univerzitách, nebo se lovu odměn věnují již dlouho. Tito lidé vyžadují předkládání informací ve specifickém formátu, na který je sám o sobě obtížné si zvyknout.
I ti nejlepší vývojáři budou mít potíže s tím udržet krok, a náklady na tuto příležitost se mohou ukázat jako příliš vysoké.
Řešení zaslaných hlášení
V neposlední řadě je tu otázka prokázání nálezu. Software je sice založen na striktně definovaných pravidlech, ale to, kdy je konkrétní požadavek splněn, je už věcí debaty. Uvedeme si příklad pro lepší pochopení.
Řekněme, že jste vypsali odměnu za chyby v ověřování a autorizaci. To znamená, že prohlašujete, že váš systém je zabezpečen proti podvodům s identitou, které se hackeři snaží obejít.
Nyní hacker objevil slabinu, která je založena na fungování konkrétního prohlížeče, což mu umožňuje ukrást uživatelský token a vydávat se za daného uživatele.
Je to platný nález?
Z pohledu hackera jde jednoznačně o porušení bezpečnosti. Z vašeho pohledu tomu tak být nemusí, protože si můžete myslet, že je to zodpovědnost uživatele, nebo že se na tento prohlížeč váš cílový trh prostě nezaměřuje.
Pokud by se celá tato situace odehrála na platformě pro odměny za chyby, byli by k dispozici odborní arbitři, kteří by rozhodli o dopadu nálezu a problém uzavřeli.
Pojďme se tedy podívat na některé z nejpopulárnějších platforem pro odměny za chyby.
YesWeHack
YesWeHack je mezinárodní platforma pro odměny za chyby, která nabízí odhalování zranitelností a crowdsourcové zabezpečení v mnoha zemích, včetně Francie, Německa, Švýcarska a Singapuru. Poskytuje moderní řešení pro odměny za chyby, které reaguje na rostoucí hrozby v souvislosti s rostoucí agilitou firem, kde tradiční nástroje již nestačí.
YesWeHack vám umožní přístup k virtuálnímu týmu etických hackerů a maximalizuje možnosti testování. Vyberte si požadované lovce a odešlete jim rozsah, který mají otestovat, nebo jej sdílejte s komunitou YesWeHack. Společnost dodržuje přísné předpisy a normy, aby chránila zájmy lovců i vaše.
Zlepšete zabezpečení vaší aplikace využitím schopností lovců a minimalizujte dobu potřebnou k nápravě a odhalení zranitelnosti. Po spuštění programu uvidíte rozdíl.
Open Bug Bounty
Platíte příliš za programy odměn za chyby?
Vyzkoušejte Open Bug Bounty pro testování zabezpečení crowdsourcingem.
Jde o komunitně řízenou, otevřenou, bezplatnou a nezprostředkovanou platformu pro odměny za chyby. Kromě toho nabízí odpovědné a koordinované zveřejňování zranitelností, které je v souladu s ISO 29147. Do dnešního dne pomohla platforma opravit více než 641 000 zranitelností.
Bezpečnostní výzkumníci a odborníci z předních webů jako WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha a dalších využili platformu Open Bug Bounty k řešení svých bezpečnostních problémů, jako jsou zranitelnosti XSS, SQL injection atd. Můžete zde najít vysoce kvalifikované a pohotové profesionály, kteří odvedou svou práci rychle.
Hackerone
Pokud jde o programy odměn za chyby, Hackerone je lídrem, pokud jde o přístup k hackerům, vytváření odměn, šíření informací a hodnocení příspěvků.
Existují dva způsoby, jak můžete Hackerone využít: platformu můžete využít ke sběru a zpracování zpráv o zranitelnostech sami, nebo můžete nechat odborníky z Hackerone, aby provedli těžkou práci (třídění). Třídění je proces sestavování, ověřování a komunikace zpráv o zranitelnostech s hackery.
Hackerone používají velké značky jako Google Play, PayPal, GitHub, Starbucks a další, takže je to samozřejmě volba pro ty, kteří mají závažné chyby a dostatečné finanční prostředky. 😉
Bugcrowd
Bugcrowd nabízí různá řešení pro hodnocení zabezpečení, jedním z nich jsou odměny za chyby. Poskytuje řešení SaaS, které se snadno integruje do vašeho stávajícího životního cyklu softwaru a umožňuje vám efektivně spustit program odměn za chyby.
Můžete si vybrat, zda chcete mít soukromý program odměn za chyby, do kterého se zapojí několik vybraných hackerů, nebo veřejný program, který osloví tisíce lidí.
SafeHats
Pokud jste firma, která si nepřeje zveřejňovat svůj program odměn za chyby, a zároveň potřebuje více pozornosti, než může nabídnout typická platforma pro odměny za chyby, SafeHats je vaše nejlepší volba (hrozná slovní hříčka, že?).
Vyhrazený bezpečnostní poradce, podrobné profily hackerů a účast pouze na pozvání – to vše je vám k dispozici v závislosti na vašich potřebách a úrovni zabezpečení.
Intigriti
Intigriti je komplexní platforma pro odměny za chyby, která vás propojí s white hat hackery, ať už chcete provozovat soukromý nebo veřejný program.
Pro hackery je k dispozici mnoho odměn. V závislosti na velikosti společnosti a odvětví se odměny za nalezené chyby pohybují od 1 000 do 20 000 EUR.
Synack
Zdá se, že Synack je jednou z těch tržních výjimek, které se vymykají konvencím a nakonec dosáhnou něčeho velkého. Jejich bezpečnostní program Hack the Pentagon byl hlavním úspěchem, který vedl k odhalení několika kritických zranitelností.
Pokud tedy hledáte nejen zjišťování chyb, ale také bezpečnostní poradenství a školení na nejvyšší úrovni, Synack je tou správnou cestou.
Závěr
Stejně jako byste se měli držet dál od léčitelů, kteří nabízejí „zázračné léky“, držte se prosím dál od jakékoli webové stránky nebo služby, která tvrdí, že dokáže zajistit neproniknutelné zabezpečení. Jediné, co můžeme dělat, je neustále se přibližovat k ideálu. Od programů odměn za chyby by se nemělo očekávat, že budou produkovat aplikace s nulovým počtem chyb, ale měly by být považovány za zásadní strategii pro odstraňování těch nejhorších z nich.
Podívejte se na tento kurz lovu chyb, abyste se naučili nové věci a získali slávu, odměny a uznání.
Seznamte se s největšími programy odměn za chyby na světě.
Doufám, že se vám podaří odhalit mnoho z nich! 🙂