Jen hacker může myslet jako hacker. Takže pokud jde o to stát se „odolným proti hackerům“, možná se budete muset obrátit na hackera.
Zabezpečení aplikací bylo vždy žhavým tématem, které se postupem času stále více rozpalovalo.
I když máme k dispozici hordu obranných nástrojů a postupů (firewally, SSL, asymetrická kryptografie atd.), žádná webová aplikace nemůže tvrdit, že je bezpečná mimo dosah hackerů.
proč tomu tak je?
Jednoduchým důvodem je, že vytváření softwaru zůstává velmi složitým a křehkým procesem. Stále existují chyby (známé i neznámé) uvnitř základů, které vývojáři používají, a nové se vytvářejí se spuštěním nového softwaru a knihoven. Dokonce i špičkové technologické společnosti jsou připraveny na občasnou ostudu, a to z dobrého důvodu.
Table of Contents
Nyní najímáme. . . Hackeři!
Vzhledem k tomu, že chyby a zranitelnosti pravděpodobně nikdy neopustí sféru softwaru, kde to ponechává podniky závislé na tomto softwaru, aby přežily? Jak si může být například nová aplikace pro peněženku jistá, že obstojí proti ošklivým pokusům hackerů?
Ano, už jste to uhodli: najmutím hackerů, aby přišli a prozkoumali tuto nově vytvořenou aplikaci! A proč by to dělali? Jen proto, že je nabízena dostatečně velká odměna — odměna za chyby! 🙂
Pokud slovo „odměna“ vyvolává vzpomínky na Divoký západ a kulky střílené bez opuštění, přesně o to tu jde. Nějakým způsobem přimějete ty nejelitnější a nejzkušenější hackery (bezpečnostní experty), aby ozvučili vaši aplikaci, a pokud něco najdou, dostanou odměnu.
Existují dva způsoby, jak toho dosáhnout: 1) hostit bug bounty na vlastní pěst; 2) pomocí bug bounty platformy.
Bug Bounty: Samoobslužné vs. platformy
Proč byste si lámali hlavu s výběrem (a placením) bug bounty platformy, když ji můžete jednoduše hostit sami. Chci říct, stačí vytvořit stránku s příslušnými detaily a udělat nějaký hluk na sociálních sítích. To evidentně nemůže selhat, že?
Hacker není přesvědčen!
No, to je skvělý nápad, ale podívejte se na to z pohledu hackera. Strkat se do brouků není snadný úkol, protože vyžaduje několik let tréninku, prakticky neomezené znalosti věcí starých i nových, spoustu odhodlání a více kreativity, než má většina „vizuálních designérů“ (omlouvám se, tomu jsem nemohl odolat! :-P).
Hacker neví, kdo jste, nebo si není jistý, že zaplatíte. Nebo možná není motivován. Samoobslužné odměny fungují pro giganty jako Google, Apple, Facebook atd., jejichž jména mohou lidé s hrdostí umístit do svého portfolia. „V aplikaci HRMS vyvinuté společností XYZ Tech Systems jsme našli kritickou zranitelnost přihlášení“ nezní působivě, že (s náležitou omluvou jakékoli společnosti, která by mohla toto jméno připomínat!)?
Pak jsou zde další praktické (a drtivé důvody), proč nechodit sólo, pokud jde o odměny za chyby.
Nedostatek infrastruktury
„Hackeři“, o kterých jsme mluvili, nejsou ti, kteří sledují Dark Web.
Tito nemají čas ani trpělivost na náš „civilizovaný“ svět. Místo toho zde mluvíme o výzkumnících z oblasti informatiky, kteří jsou buď na univerzitě, nebo jsou lovci odměn již dlouhou dobu. Tito lidé chtějí a předkládají informace ve specifickém formátu, na který je samo o sobě těžké si zvyknout.
I vaši nejlepší vývojáři budou mít problém udržet krok a náklady příležitosti se mohou ukázat jako příliš vysoké.
Řešení podání
Konečně je tu otázka dokazování. Software může být postaven na plně deterministických pravidlech, ale kdy přesně je konkrétní požadavek splněn, je předmětem diskuse. Vezměme si příklad, abychom to lépe pochopili.
Předpokládejme, že jste vytvořili bug bounty za chyby ověřování a autorizace. To znamená, že tvrdíte, že váš systém je bez rizika předstírání identity, které musí hackeři podvracet.
Nyní hacker našel slabinu založenou na tom, jak konkrétní prohlížeč funguje, což jim umožňuje ukrást token relace uživatele a vydávat se za něj.
Je to platné zjištění?
Z pohledu hackera je porušení rozhodně porušením. Z vašeho pohledu možná ne, protože si buď myslíte, že to spadá do oblasti odpovědnosti uživatele, nebo že váš cílový trh prohlížeč prostě nezajímá.
Pokud by se celé toto drama odehrávalo na platformě bug bounty, existovali by schopní arbitri, kteří by rozhodli o dopadu objevu a uzavřeli problém.
S tím se podíváme na některé z populárních platforem odměny za chyby.
YesWeHack
YesWeHack je globální bug bounty platforma, která nabízí odhalení zranitelnosti a crowdsourcované zabezpečení v mnoha zemích, jako je Francie, Německo, Švýcarsko a Singapur. Poskytuje převratné řešení Bug Bounty pro řešení rostoucích hrozeb s rostoucí agilitou podnikání, kde tradiční nástroje již nesplňují očekávání.
YesWeHack vám umožňuje přistupovat k virtuálnímu fondu etických hackerů a maximalizovat možnosti testování. Vyberte požadované lovce a odešlete rozsahy k testování nebo je sdílejte s komunitou YesWeHack. Dodržuje některé přísné předpisy a normy, aby byly chráněny zájmy lovců i vaše.
Zlepšete zabezpečení své aplikace využitím schopnosti lovce a minimalizujte čas potřebný k nápravě a odhalení zranitelnosti. Po spuštění programu uvidíte rozdíl.
Otevřete Bug Bounty
Přeplácíte za bug bounty programy?
Snaž se Otevřete Bug Bounty pro testování bezpečnosti davu.
Toto je komunitou řízená, otevřená, bezplatná a nezprostředkovaná platforma pro odměny za chyby. Kromě toho nabízí odpovědné a koordinované zveřejňování zranitelností kompatibilní s ISO 29147. K dnešnímu dni pomohl opravit více než 641 000 zranitelností.
Bezpečnostní výzkumníci a odborníci z předních webů, jako jsou WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha a další, použili platformu Open Bug Bounty k vyřešení svých bezpečnostních problémů, jako jsou zranitelnosti XSS, injekce SQL atd. Můžete najít vysoce informované a pohotové profesionály, kteří svou práci rychle odvedou.
Hackerone
Mezi bug bounty programy, Hackerone je lídrem, pokud jde o přístup k hackerům, vytváření vašich odměn, šíření informací a hodnocení příspěvků.
Existují dva způsoby, jak můžete Hackerone použít: použijte platformu ke shromažďování zpráv o zranitelnosti a vypracujte je sami nebo nechte odborníky z Hackerone, aby provedli těžkou práci (triaging). Triaging je jednoduše proces sestavování zpráv o zranitelnosti, jejich ověřování a komunikace s hackery.
Hackerone používají velká jména jako Google Play, PayPal, GitHub, Starbucks a podobně, takže je samozřejmě pro ty, kteří mají vážné chyby a vážné kapsy. 😉
Bugcrowd
Bugcrowd nabízí několik řešení pro hodnocení bezpečnosti, jedním z nich je Bug Bounty. Poskytuje řešení SaaS, které se snadno integruje do vašeho stávajícího životního cyklu softwaru a umožňuje spustit úspěšný program odměn za chyby.
Můžete si vybrat, zda budete mít soukromý bug bounty program, který zahrnuje několik vybraných hackerů, nebo veřejný, který shromažďuje tisíce lidí.
SafeHats
Pokud jste podnik a necítíte se dobře zveřejňovat svůj bug bounty program – a zároveň potřebujete více pozornosti, než může nabídnout typická bug bounty platforma – SafeHats je vaše nejbezpečnější sázka (strašná slovní hříčka, co?).
Vyhrazený bezpečnostní poradce, podrobné profily hackerů, účast pouze pro zvané – to vše je poskytováno v závislosti na vašich potřebách a vyspělosti vašeho bezpečnostního modelu.
Intigriti
Intigriti je komplexní bug bounty platforma, která vás spojí s white hat hackery, ať už chcete provozovat soukromý nebo veřejný program.
Pro hackery je toho spousta odměny sebrat. V závislosti na velikosti společnosti a odvětví jsou k dispozici lovy hmyzu v rozmezí od 1 000 do 20 000 EUR.
Synack
Synack se zdá být jednou z těch tržních výjimek, které prolomí formu a nakonec udělají něco masivního. Jejich bezpečnostní program Hackněte Pentagon byl hlavním vrcholem, který vedl k odhalení několika kritických zranitelností.
Pokud tedy hledáte nejen zjišťování chyb, ale také bezpečnostní pokyny a školení na nejvyšší úrovni, Synack je způsob, jak jít.
Závěr
Stejně jako se držte dál od léčitelů, kteří hlásají „zázračné léky“, držte se prosím dál od jakékoli webové stránky nebo služby, která říká, že je možné neprůstřelné zabezpečení. Jediné, co můžeme udělat, je posunout se o krok blíže k ideálu. Od programů bug bounty jako takových by se nemělo očekávat, že budou produkovat aplikace s nulovými chybami, ale měly by být považovány za základní strategii při odstraňování těch opravdu odporných.
Podívejte se na toto kurz lovu chyb učit se a získat slávu, odměny a uznání.
Seznamte se s největšími programy odměn za chyby na světě.
Doufám, že zlikvidujete mnoho z nich! 🙂