Bare en hacker kan tenke som en hacker. Så når det gjelder å bli «hackersikker», må du kanskje henvende deg til en hacker.
Applikasjonssikkerhet har alltid vært et hett tema som bare har blitt varmere med tiden.
Selv med en horde av defensive verktøy og praksis til rådighet (brannmurer, SSL, asymmetrisk kryptografi, etc.), kan ingen nettbasert applikasjon påstå at den er sikker utenfor rekkevidde for hackere.
Hvorfor det?
Den enkle grunnen er at bygging av programvare fortsatt er en svært kompleks og sprø prosess. Det er fortsatt feil (kjente og ukjente) inne i grunnlaget utviklere bruker, og nye blir opprettet med lanseringen av ny programvare og biblioteker. Selv de øverste teknologiselskapene er klare for sporadisk forlegenhet, og det med god grunn.
Innholdsfortegnelse
Ansetter nå . . . Hackere!
Gitt at feil og sårbarheter sannsynligvis aldri vil forlate programvareriket, hvor gjør det bedriftene avhengige av denne programvaren for å overleve? Hvordan kan for eksempel en ny lommebok-app være sikker på at den vil stå opp mot de ekle forsøkene fra hackere?
Ja, du har gjettet det nå: ved å ansette hackere til å komme og ta en knekk på denne nyopprettede appen! Og hvorfor skulle de det? Bare fordi det er en stor nok dusør på tilbud – insektspremien! 🙂
Hvis ordet «bounty» bringer tilbake minner fra det ville vesten og kuler som ble avfyrt uten å bli forlatt, er det akkurat det som er tanken her. Du får på en eller annen måte de mest elite og kunnskapsrike hackerne (sikkerhetseksperter) til å høre ut appen din, og hvis de finner noe, blir de belønnet.
Det er to måter å gjøre det på: 1) å være vert for en bug-bounty på egen hånd; 2) ved å bruke en bug bounty-plattform.
Bug Bounty: Selvdrevne kontra plattformer
Hvorfor ville du gå til bryet med å velge (og betale) en bug bounty-plattform når du ganske enkelt kan være vert for den på egen hånd. Jeg mener, bare lag en side med de relevante detaljene og lag litt støy på sosiale medier. Det kan åpenbart ikke feile, ikke sant?
Hacker er ikke overbevist!
Vel, det er en fin idé der, men se på det fra hackerens perspektiv. Å støte etter feil er ingen enkel oppgave, siden det krever flere års trening, praktisk talt ubegrenset kunnskap om ting gammelt og nytt, tonnevis av besluttsomhet og mer kreativitet enn de fleste «visuelle designere» har (beklager, jeg kunne ikke motstå det! :-P).
Hackeren vet ikke hvem du er eller er ikke sikker på at du vil betale. Eller kanskje ikke er motivert. Selvhostede skuddpremier fungerer for juggernauts som Google, Apple, Facebook, etc., hvis navn folk kan sette på porteføljen sin med stolthet. «Funnet en kritisk påloggingssårbarhet i HRMS-appen utviklet av XYZ Tech Systems» høres ikke imponerende ut, gjør det nå (med behørig unnskyldning til ethvert selskap der ute som kan ligne dette navnet!)?
Så er det andre praktiske (og overveldende grunner) til å ikke gå solo når det kommer til bug-bounties.
Mangel på infrastruktur
«Hackerne» vi har snakket om er ikke de som forfølger Dark Web.
De har ikke tid eller tålmodighet for vår «siviliserte» verden. I stedet snakker vi her om forskere med informatikkbakgrunn som enten er ved et universitet eller har vært dusørjegere i lang tid. Disse menneskene vil ha og sende inn informasjon i et spesifikt format, noe som er en smerte i seg selv å venne seg til.
Selv de beste utviklerne dine vil slite med å følge med, og alternativkostnaden kan vise seg å være for høy.
Løse innleveringer
Til slutt er det spørsmålet om bevis. Programvaren kan være bygget på fullstendig deterministiske regler, men nøyaktig når et bestemt krav oppfylles er opp til debatt. La oss ta et eksempel for å forstå dette bedre.
Anta at du opprettet en bug-bounty for autentiserings- og autorisasjonsfeil. Det vil si at du hevder at systemet ditt er fritt for risikoen for etterligning, som hackerne må undergrave.
Nå har hackeren funnet en svakhet basert på hvordan en bestemt nettleser fungerer, som lar dem stjele en brukers økttoken og etterligne dem.
Er det et gyldig funn?
Fra hackerens perspektiv er et brudd definitivt et brudd. Fra ditt perspektiv, kanskje ikke, fordi enten tror du at dette faller inn under brukerens ansvar eller at nettleseren rett og slett ikke er en bekymring for målmarkedet.
Hvis alt dette dramaet skjedde på en bug bounty-plattform, ville det vært dyktige dommere til å avgjøre virkningen av oppdagelsen og lukke problemet.
Med det sagt, la oss se på noen av de populære bug bounty-plattformene der ute.
YesWeHack
YesWeHack er en global bug bounty-plattform som tilbyr avsløring av sårbarheter og crowdsourcet sikkerhet i mange land som Frankrike, Tyskland, Sveits og Singapore. Det gir en forstyrrende løsning av Bug Bounty for å takle truslene som øker med økningen i forretningssmidighet der tradisjonelle verktøy ikke lenger oppfyller forventningene.
YesWeHack lar deg få tilgang til den virtuelle poolen av etiske hackere og maksimere testmulighetene. Velg jegerne du vil ha og send inn skopene som skal testes eller del dem med YesWeHack-fellesskapet. Den følger noen strenge forskrifter og standarder for å ivareta interessene til jegere så vel som dine.
Forbedre appsikkerheten din ved å utnytte jegerens respons og minimere tiden til utbedring og gjenkjenning av sårbarheter. Du vil kunne se forskjellen når du starter programmet.
Åpne Bug Bounty
Betaler du for mye for bug bounty-programmer?
Prøve Åpne Bug Bounty for testing av publikumssikkerhet.
Dette er en fellesskapsdrevet, åpen, kostnadsfri og disintermediert bug bounty-plattform. I tillegg tilbyr den ansvarlig og koordinert avsløring av sårbarheter som er kompatibel med ISO 29147. Til dags dato har den bidratt til å fikse over 641 000 sårbarheter.
Sikkerhetsforskere og fagfolk fra ledende nettsteder som WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha og flere har brukt Open Bug Bounty-plattformen for å løse sikkerhetsproblemer som XSS-sårbarheter, SQL-injeksjoner, etc. Du kan finne svært kunnskapsrike og lydhøre fagfolk for å få arbeidet gjort raskt.
Hackerone
Blant bug-bounty-programmene, Hackerone er lederen når det gjelder tilgang til hackere, lage dine dusørprogrammer, spre ordet og vurdere bidragene.
Det er to måter du kan bruke Hackerone på: bruk plattformen til å samle inn sårbarhetsrapporter og utarbeide dem selv eller la ekspertene hos Hackerone gjøre det harde arbeidet (triaging). Triaging er ganske enkelt prosessen med å kompilere sårbarhetsrapporter, verifisere dem og kommunisere med hackere.
Hackerone brukes av store navn som Google Play, PayPal, GitHub, Starbucks og lignende, så selvfølgelig er det for de som har alvorlige feil og seriøse lommer. 😉
Bugcrowd
Bugcrowd tilbyr flere løsninger for sikkerhetsvurderinger, en av dem er Bug Bounty. Den gir en SaaS-løsning som enkelt integreres i din eksisterende programvarelivssyklus og gjør det enkelt å kjøre et vellykket program for bug-bounty.
Du kan velge å ha et privat bug-bounty-program som involverer noen få utvalgte hackere eller et offentlig som crowdsourcer til tusenvis.
SafeHats
Hvis du er en bedrift og ikke føler deg komfortabel med å gjøre bug-bounty-programmet ditt offentlig – og samtidig trenger mer oppmerksomhet enn det som kan tilbys av en typisk bug bounty-plattform – SafeHats er din sikreste innsats (forferdelig ordspill, ikke sant?).
Dedikert sikkerhetsrådgiver, grundige hackerprofiler, deltakelse kun for invitasjoner – alt tilbys avhengig av dine behov og modenhet av sikkerhetsmodellen din.
Intigriti
Intigriti er en omfattende bug bounty-plattform som forbinder deg med white hat-hackere, enten du vil kjøre et privat eller offentlig program.
For hackere er det nok av dusører å gripe. Avhengig av selskapets størrelse og bransje, er insektjakt fra €1 000 til €20 000 tilgjengelig.
Synack
Synack ser ut til å være et av de markedsunntakene som bryter formen og ender opp med å gjøre noe massivt. Sikkerhetsprogrammet deres Hack Pentagon var det store høydepunktet, og førte til oppdagelsen av flere kritiske sårbarheter.
Så hvis du ikke bare leter etter feiloppdagelse, men også sikkerhetsveiledning og opplæring på toppnivå, Synack er veien å gå.
Konklusjon
Akkurat som du holder deg unna healere som proklamerer «mirakelkurer», vennligst hold deg unna alle nettsider eller tjenester som sier at skuddsikker sikkerhet er mulig. Alt vi kan gjøre er å gå et skritt nærmere idealet. Som sådan bør ikke bug bounty-programmer forventes å produsere null-bug-applikasjoner, men bør sees på som en viktig strategi for å luke ut de virkelig ekle.
Sjekk ut dette bug dusørjaktkurs å lære og få berømmelse, belønninger og takknemlighet.
Lær om de største bug-bounty-programmene i verden.
Jeg håper du squash mange av dem bugs! 🙂