A Bug bounty ügyfelek visszajelzéseiről

A platformunk indulása óta egyre több ügyféltapasztalattal rendelkezünk, melyek talán a segítségetekre lehetnek.

Bejegyzésünkben ezeket szedtük most nektek egy csokorba.

Mi volt az ügyfeleknél a döntő ok, amiért belevágtak a program elindításába?

Az első ügyfelünket, aki belevágott a programba, mi kerestük meg. Meséltünk nekik a programról, és érdekelte őket, hogy vajon az ő platformjuk mennyire biztonságos.. Meglátták a potenciált abban, hogy a rendszereik folyamatos tesztelésnek vannak alávetve. Először ők is azt gondolták, hogy egy szuper IT csapat dolgozik a háttérben, de kiderült, hogy mégis vannak hiányosságok. A hibát természetesen nem kell az orruk alá dörgölni, azért dolgozunk együtt, hogy kijavíthassák a talált sérülékenységeket. Ezáltal, ha később külső fejlesztővel kötnének szerződést, figyelhetnek arra is, hogy ő vállalja a garanciát a hibák kijavítására. 

Milyen érvek szólnak még a bug bounty mellett?

Alaposság

Az alaposság egy nagyon fontos szempont a munkánk során. Nagyon sok etikus hacker teszteli a rendszereket, ezáltal a lehető legtöbb sérülékenységet képesek megtalálni.

Kidolgozott jelentések

A riportok beküldése után mi validáljuk a jelentéseket. Ellenőrizzük, hogy valós-e a hiba, reprodukálható-e, illetve, hogy jelentették-e már előtte. Ezután kerül csak az ügyfélhez, ezáltal nekik már nem kell egyesével átnézni a riportokat, egyből elkezdhetik a hibák kijavítását.

Folyamatmenedzselés

A folyamatos kommunikációnak köszönhetően az ügyfélnek csak a sérülékenységet kell kijavítania. A mi feladatunk, hogy a két fél között lebonyolítsuk a kommunikációt, és minden felmerülő kérdésben a segítségükre legyünk. 

Egyik ügyfelünk mindezekről így vélekedett:

„Kapásból érdeklődve figyeltem a Hacktify bug bounty programját, amint tudomást szereztem róla. Hiánypótló szolgáltatás, amely a felmérésre szánt keretösszeg és a szerződéses partnerek összetételét illetően egyedi nemcsak a magyar, de a nemzetközi piacon is.

Nagy érdeme a Hacktify csapatának, hogy nemcsak közvetítenek, hanem szakmai szupervíziót is nyújtanak. Így az adott bug már átesik egy szűrésen – nagy könnyebbség volt az ő tolmácsolásukban (egyébként biztonságos csatornán) értesülni a hibákról. Nekem olyan érzésem volt, mintha saját belsős IT biztonsági szakembereimmel beszélnék. Gyorsak, kiváló szakemberek és igényekre szabható megoldást kínálnak!”

TOP 3 előny, melyet egy program adhat az ügyfél számára

1.     Jutalék alapú fizetés

A bug bounty program során csak akkor kell fizetni, ha az etikus hackerek sérülékenységet találnak, és az valóban reprodukálható. 

2.     Folyamatosság

A program nem hasonlít az auditokhoz, melyek csak egy pillanatnyi állapotot vizsgálnak. A publikus programok során kötetlen számú etikus hacker vizsgálhatja a rendszereket, egészen addig, míg az ügyfél a program leállítása mellett nem dönt.

3.     Bármikor módosítható

Nincs meghatározott idő, ha elfogy az erőforrás, bármikor leállítható a program, valamint a program részletei menet közben is módosíthatók.

Mit csinálnak másként a cégek mióta bug bounty programjuk van?

Tapasztalataink alapján az egyik ügyfél fejlesztőt váltott, mert az illető nem vette jó néven, hogy tesztelés alá vetik az ő munkáját. Az új fejlesztő pedig örül a bejelentéseknek, szívesen javítja őket, ezáltal ő is fejlődik. Ez egy tanulási ciklus számára is, később hasonló fejlesztéseknél már nem lesz ezzel probléma.

Ezen kívül, ami biztos, hogy változik, az a hozzáállásuk és a biztonsági tudatosságuk. További kontrollokat vezetnek be, oktatásokat tartanak, titkosítást vezetnek be a laptopokra.

Büszkék arra, hogy számukra fontos a kiberbiztonság, és marketing szempontból is jó lehetőség nekik a publikus program reklámozása az oldalukon.

Mit tanulhat egy cég az eddigi ügyféltapasztalatok alapján?

Fontos megérteni, hogy mindenhol vannak hibák, hiszen emberek vagyunk. Rosszakaró hackerek pedig valóban léteznek, és arra várnak, hogy kihasználhassák a sérülékenységeket. A program segítségével mindenki esélyt kap arra, hogy felvértezze magát ellenük, és időben kijavíthassa a hibákat.

A programból a cégek csak profitálhatnak, ezért saját erőforrás korlátaikon belül érdemes belevágni. Egy cégvezető számára is kiváló visszajelzés lehet, hogy milyen IT csapattal dolgozik együtt. 

„Teljesen elégedett vagyok. A hibajelenségeket pontosan dokumentálta és példával igazolta a beküldő hacker. A körülbelül egy hónapos aktív vizsgálati szakaszban lényeges előrelépést tettünk a rendszer biztonsága érdekében, a visszajelzések alapján hatékony védelmet alakítottunk ki.

Kezdetben nehézkes volt elérni, hogy a programozó kollégák a hozzárendelt magas prioritásnak megfelelő erőforrást csoportosítsanak a hibajegyek vizsgálatára. A program előrehaladása során a kollégák egyre izgalmasabb kihívást láttak a biztonság fejlesztésében és gyorsan magas színvonalon foglalkoztak a felmerülő lehetséges problémákkal.” – FUTÁR.hu

Schütz Dávid, etikus hackerrel már készítettünk egy interjút a blogunkra, ő a honlapjára több write up-ot is ír azokról a hibákról, melyeket megtalált.

A jövőben mi is tervezzük, hogy –  az ügyfelek beleegyezésével – oldalunkon közzéteszünk egy-egy beszámolót a megtalált hibákról. A tesztelés folyamatába jelenleg nincs lehetőség jobban belelátni az érdeklődők számára, azonban a videómegosztó protálokon is egyre több videó található, ahol kicsit a kulisszatitkok mögé láthatunk.

Aki továbbra is bizonytalan, annak javasoljuk a személyes megbeszélést, ahol minden kérdésre választ kaphat. Első körben lehetőség van privát program indítására, melyben csak a meghívott hackerek vehetnek részt. Így megbizonyosodhat róla, hogy valóban szüksége van-e a programra, kipróbálhatja hogyan működik a folyamat.

Munkavégzés során észrevehető a tesztelés?

Stabil rendszerek esetében nem észrevehető, és nem is kaptunk ilyen visszajelzést. Nagyobb vállalatok esetében az informatikusok azok, akiknek tudniuk kell a tesztelésről, hiszen ők azok, akik folyamatosan monitorozzák a rendszert, a hálózatot.

Volt már példa a hacker és cég közötti félreértésre?

Eddig szerencsére még nem történt semmilyen félreértés, hiszen a kommunikációt teljes mértékben mi intézzük, közöttük nincs kapcsolat. Esetleg abból alakulhat ki konfliktus, hogyha a cég nem fogadja el a riportot, és nem tud olyan indokot mondani, ami a hackernek elfogadható. De ilyen sem fordult még elő.

Volt olyan, hogy egy cég többet profitált, mint amire számított?

Általában nem számítanak arra, hogy ilyen sok sérülékenység található náluk. Az egyik ügyfelünk kíváncsiságból alacsonyabb kerettel vágott bele a programba, és már az első napokban 15 bejelentés érkezett. Azóta ezeket kijavította, és biztonságosabb lett a weboldala.

Anyagilag is sokkal jobban járnak, hiszen egy behatolásteszt ennél jóval drágább. Emellett időt is spórolhatnak. Tudomásunk van olyanról is, aki magának nyitott bug bounty programot, de nem kapott hozzá alaposan kidolgozott riportokat, túl sok volt benne a hiba, így rengeteg időt elvesztegettek.

Az eddig kapott visszajelzéseink alapján nincsen tudomásunk negatív tapasztalatról.

Saját tapasztalataink

Számunkra a legmeglepőbb az etikus hackerek motiváltsága. Volt olyan programunk, melyet az ügyfél szeretett volna leállítani, de az etikus hackerek kérték, hogy maradhasson, akár csak pontokért is cserébe. Olyan kihívások elé állítja őket, melyekért megéri számukra foglalkozni velük és élvezettel állnak hozzá.

Meglepődtünk mekkora igény van egy ilyen platformra, és egyre csak többen lesznek.

Az ügyfelek részéről érezhető, hogy egyre jobban értékelik az etikus hackerek munkáját, belátják, hogy megbízható közösségről van szó, akik értük dolgoznak.

Ha felkeltettük az érdeklődésedet akár hackerként, akár ügyfélként, megtalálsz minket a honlapunkon keresztül!

További publikációink