For å forstå hvordan man sikrer seg mot angrep, kan det være nødvendig å tenke som en hacker. Derfor kan det å samarbeide med en hacker være en god strategi for å oppnå bedre sikkerhet.
Applikasjonssikkerhet er et stadig viktigere tema i dagens digitale verden.
Selv med et bredt spekter av forsvarsverktøy og -metoder, som brannmurer, SSL og asymmetrisk kryptografi, er ingen applikasjon 100% sikker mot hackere. Det er alltid en risiko.
Hvorfor er det slik?
En av hovedårsakene er at programvareutvikling er en kompleks og uforutsigbar prosess. Det finnes alltid feil, både kjente og ukjente, i koden som utviklere bruker. Nye feil dukker også opp i takt med at ny programvare og biblioteker lanseres. Selv de største teknologiselskapene opplever sikkerhetsbrudd, noe som viser hvor utfordrende dette er.
Ansettelse av hackere
Siden feil og sårbarheter trolig alltid vil eksistere i programvare, hva kan bedrifter som er avhengige av denne programvaren gjøre for å beskytte seg? Hvordan kan for eksempel en ny lommebok-app være sikker mot hackeres forsøk?
Svaret er å ansette hackere for å teste appen! Dette gjøres ved å tilby en belønning, en såkalt «bug bounty» eller feilpremie.
Konseptet er enkelt: De mest erfarne og kunnskapsrike sikkerhetsekspertene blir invitert til å teste appen. Hvis de finner en sårbarhet, blir de belønnet.
Dette kan gjøres på to måter: 1) ved å arrangere en «bug bounty» selv, eller 2) ved å bruke en «bug bounty»-plattform.
«Bug Bounty»: Egenadministrert vs. Plattform
Hvorfor velge en «bug bounty»-plattform når man kan arrangere en slik test selv? Det er jo bare å lage en side med nødvendig informasjon og spre budskapet på sosiale medier. Det burde jo være enkelt, ikke sant?
Selv om ideen kan høres bra ut, er det viktig å se det fra hackerens perspektiv. Å finne feil er ingen enkel oppgave. Det krever mange års trening, omfattende kunnskap, stor besluttsomhet og kreativitet.
Hackeren vet kanskje ikke hvem du er, eller om du faktisk vil utbetale belønningen. Egenadministrerte «bug bounties» fungerer som regel best for store selskaper som Google, Apple og Facebook. Det er gjerne mer prestisje i å finne en feil i deres systemer. «Funnet en kritisk sårbarhet i HRMS-appen utviklet av XYZ Tech Systems» høres kanskje ikke like imponerende ut (med all respekt for ethvert selskap som tilfeldigvis har et lignende navn!).
Det er også andre praktiske årsaker til at det ikke er en god idé å arrangere «bug bounties» på egen hånd.
Mangel på infrastruktur
De «hackerne» vi snakker om, er ikke nødvendigvis de som opererer på det mørke nettet.
De fleste av disse er dyktige forskere med IT-bakgrunn som jobber ved universiteter eller har jobbet som «bug bounty»-jegere i lang tid. De forventer å kunne sende inn informasjon i et bestemt format, noe som kan være vanskelig for et selskap å legge til rette for.
Selv dine beste utviklere kan ha problemer med å følge med, og det kan bli for dyrt.
Håndtering av innsendelser
Det er også viktig å håndtere bevis. Selv om programvare fungerer etter deterministiske regler, kan det være uenighet om når et bestemt krav er oppfylt. La oss se på et eksempel:
Anta at du har lansert en «bug bounty» for autentiserings- og autorisasjonsfeil. Det vil si at du mener at systemet ditt er sikkert mot identitetstyveri.
En hacker oppdager en svakhet som gjør det mulig å stjele en brukers økttoken ved hjelp av en bestemt nettleser.
Er dette en gyldig oppdagelse?
Fra hackerens perspektiv er et sikkerhetsbrudd et sikkerhetsbrudd. Fra ditt perspektiv er det kanskje ikke like åpenbart, enten fordi du mener at dette faller inn under brukerens ansvar, eller fordi nettleseren ikke er en viktig faktor for målgruppen din.
Hvis alt dette hadde skjedd via en «bug bounty»-plattform, hadde det vært erfarne dommere som kunne vurdere oppdagelsen og avgjøre saken.
La oss nå se på noen populære «bug bounty»-plattformer:
YesWeHack
YesWeHack er en global «bug bounty»-plattform som tilbyr sårbarhetsavsløring og crowdsourcet sikkerhet i mange land, inkludert Frankrike, Tyskland, Sveits og Singapore. De tilbyr innovative løsninger for «bug bounties» som er tilpasset det økende behovet for raskere sikkerhetsløsninger i en verden der tradisjonelle verktøy ikke lenger er tilstrekkelig.
YesWeHack gir deg tilgang til et stort nettverk av etiske hackere og optimaliserer testmulighetene dine. Du kan velge spesifikke «jegere» og spesifisere hva som skal testes. Plattformen følger strenge retningslinjer og standarder for å beskytte både «jegerne» og dine interesser.
Forbedre applikasjonssikkerheten din ved å benytte deg av «jegernes» ekspertise. Det gir raskere identifisering og utbedring av sårbarheter.
Open Bug Bounty
Betaler du for mye for «bug bounty»-programmer?
Prøv Open Bug Bounty for offentlig sikkerhetstesting.
Dette er en fellesskapsdrevet, åpen, gratis og uavhengig «bug bounty»-plattform. Den tilbyr ansvarlig og koordinert sårbarhetsavsløring som er kompatibel med ISO 29147. Til nå har den bidratt til å løse over 641 000 sårbarheter.
Sikkerhetsforskere og eksperter fra ledende nettsteder som WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips og Yamaha har brukt Open Bug Bounty-plattformen til å løse sikkerhetsproblemer som XSS-sårbarheter og SQL-injeksjoner. Du kan finne svært kunnskapsrike og engasjerte eksperter som kan løse dine problemer raskt.
Hackerone
Blant «bug bounty»-programmene er Hackerone ledende når det gjelder å få tilgang til hackere, lage dine «bounty»-programmer, spre budskapet og vurdere bidragene.
Du kan bruke Hackerone på to måter: du kan samle inn sårbarhetsrapporter selv, eller du kan la ekspertene hos Hackerone gjøre sorteringsarbeidet. Sortering er prosessen med å kompilere sårbarhetsrapporter, verifisere dem og kommunisere med hackere.
Hackerone brukes av store selskaper som Google Play, PayPal, GitHub og Starbucks. Plattformen er altså for de som har alvorlige feil og et stort budsjett. 😉
Bugcrowd
Bugcrowd tilbyr flere løsninger for sikkerhetsvurderinger, inkludert «bug bounties». De tilbyr en SaaS-løsning som integreres i din eksisterende programvarelivssyklus og gjør det enkelt å kjøre et vellykket «bug bounty»-program.
Du kan velge et privat «bug bounty»-program som involverer noen få utvalgte hackere eller et offentlig program som er åpent for tusenvis.
SafeHats
Hvis du er en bedrift som ikke ønsker å gjøre ditt «bug bounty»-program offentlig, men som samtidig trenger mer oppmerksomhet enn det som tilbys av en typisk plattform, er SafeHats et godt alternativ.
SafeHats tilbyr en dedikert sikkerhetsrådgiver, grundige hackerprofiler og deltakelse kun for inviterte. Alt tilpasses dine behov og modenhet av sikkerhetsmodellen din.
Intigriti
Intigriti er en omfattende «bug bounty»-plattform som knytter deg til etiske hackere. De tilbyr både private og offentlige programmer.
For hackere finnes det mange belønninger å vinne. Belønningene kan variere fra €1 000 til €20 000, avhengig av selskapets størrelse og bransje.
Synack
Synack skiller seg ut som et selskap som tør å bryte med konvensjonene og oppnår imponerende resultater. Deres sikkerhetsprogram Hack Pentagon var en stor suksess og førte til oppdagelsen av flere kritiske sårbarheter.
Hvis du ikke bare leter etter feil, men også sikkerhetsrådgivning og opplæring, er Synack et godt valg.
Konklusjon
Akkurat som man bør være forsiktig med healere som lover «mirakelkur», bør man være skeptisk til nettsider og tjenester som lover 100% sikkerhet. Det vi kan gjøre er å strebe etter å bli bedre. «Bug bounty»-programmer bør ikke sees på som en garanti for å produsere feilfrie applikasjoner, men som en viktig strategi for å luke ut alvorlige sårbarheter.
Sjekk ut dette kurs om «bug bounty»-jakt for å lære mer og få anerkjennelse og belønninger.
Lær om de største «bug bounty»-programmene i verden.
Jeg håper du finner mange feil! 🙂