Bug Bounty cégeknek és hackereknek

„Ha ma megkérdeznek valami nagymenő hackert, miért tört be egy nagy híroldal webes felületére, ha csak annyit csinált, hogy kicserélte a szalagcímet egy szürreális GIF-re, (…) a válasz valószínűleg olyasmi lesz, mint amit a hegymászó felelt, amikor megkérdezték tőle, miért mászta meg a Mount Everestet: “Mert ott volt.” A hackerek, kiváltképp a fiatal hackerek többsége nem gazdagságot vagy hatalmat keres, hanem arra kíváncsi, hol húzódnak a tehetsége határai, és igyekszik minden alkalmat megragadni, hogy bizonyítsa a lehetetlen lehetséges voltát.”  Edward Snowden

Ebben a bejegyzésben mindkét oldalról megvizsgáljuk a Bug Bountyt. Egyrészt a vállalatok szemszögéből, másrészt pedig az etikus hackerek szemszögéből.

VÁLLALATOKNAK

Mi is az a Bug Bounty?

Azt mindannyian tudjuk, hogy a digitális hibák elkerülhetetlenek. Nap mint nap a vállalatok számos kihívással néznek szembe, így szükségük van egy bombabiztos védelemre.

A Bug Bounty olyan program, amely során etikus hackerek tesztelik a cégek rendszereit, alkalmazásait, és biztonsági hibákat, sebezhetőségeket keresnek.

Az első hasonló hibajavítást a Netscape indította el 1995-ben, azóta pedig a szervezetek számtalanszor éltek ezzel a programlehetőséggel.

A program során tehát az etikus hackerek engedélyt kapnak a tesztelésre, természetesen az előre egyeztetett kereteken belül, ezáltal könnyedén azonosíthatja a gyengeségeket.

Két egyforma program nem is létezik, hiszen minden vállalat más keretet ad meg, amelyen belül a hacker kutakodhat.

A vállalatok 3 program lehetőség közül választhatnak:

Publikus:

A publikus program minden regisztrált hacker számára elérhető, így egyszerre akár több százan is tesztelhetik a felületet.

Privát:

A privát program során az ügyfél választja ki a ranglista alapján a legjobb hackereket, így csak ők férhetnek hozzá a teszteléshez.

Helyszíni: 

Helyszíni program során saját vállalati környezetben dolgozhatnak az általuk kiválasztott etikus hackerekkel.

Nézzük, milyen előnyökkel rendelkezik a Bug Bounty:

Gyors sebezhetőség észlelés

A Bug Bounty legnagyobb előnye egy vállalat számára, hogy az etikus hackerek számos sebezhetőséget azonnal észrevesznek, így még azelőtt javíthatók ezek a sérülékenységek, mielőtt a rosszakaró hackerek találnák meg.

Több szem többet lát

A gyors észleléshez az is hozzátartozik, hogy egyszerre akár több száz etikus hacker is tesztelheti egy vállalat adott rendszerét, felületét.

Így nem csak egy ember keres sérülékenységet, hanem sokan mások is.

Költséghatékony

A program előnye, hogy itt egy vállalatnak sem kell előre fizetnie semmit. Sőt, ha az etikus hackerek nem találnak sebezhetőséget, akkor a program ingyen volt.

Ügyfeleink visszajelzéseiről készítettünk már egy bejegyzést, de itt is megosztjuk egyik ügyfelünk gondolatát:

„Teljesen elégedett vagyok. A hibajelenségeket pontosan dokumentálta és példával igazolta a beküldő hacker. A körülbelül egy hónapos aktív vizsgálati szakaszban lényeges előrelépést tettünk a rendszer biztonsága érdekében, a visszajelzések alapján hatékony védelmet alakítottunk ki.” – FUTÁR.hu

Még mindig kétségeid vannak? Ne legyenek! Indítsd el a programot most!

ETIKUS HACKEREKNEK

Nemcsak a vállalatok szempontjából érdekes a Bug Bounty, hanem az etikus hackerek szempontjából is.

Platformunkon keresztül bármikor jelentkezhetnek a bátor jelentkezők, akik kipróbálnák magukat Bug Bounty vadászként.

Mennyit kereshetnek az etikus hackerek? Meg lehet ebből élni?

Arra a kérdésre, hogy mennyit keres egy etikus hacker, nincs pontos válasz. Természetesen ez függ olyan dolgoktól, mint hogy az illető mondjuk iskola mellett foglalkozik ezzel vagy esetleg teljes állásban foglalkozik vele.

Amellett sem mehetünk el szó nélkül, hogy a nyugati országokban sokkal többet fizetnek egy etikus hackernek, mint itthon.

A magyar vállalatok még csak most ismerkednek ezzel a programlehetőséggel, a Bug Bounty előnyeivel, de nem kizárt, hogy hamarosan ők is magasabb összegeket fognak ajánlani egy-egy sérülékenységért.

Mire van szükség, ha valaki etikus hackerré szeretne válni?

Szorgalomra és sok-sok gyakorlásra. Ez biztos. 

Habár az etikus hackerek munkája könnyűnek tűnik, valójában nem az. Nemcsak kiváló informatikai tudásra van szükség, gyorsnak is kell lenni. Hiszen jutalmat csak az kap, aki elsőként fedezi fel a sérülékenységet.

Kitartónak kell lenni, sokat kell olvasni, keresgélni, gyakorolni és folyamatosan fejlődni.

Illetve az sem hátrány, hogy ha az illető érdeklődik a rendszerek működése iránt, hiszen ez csak előnyére válhat munkája során.

Az etikus hackerek már különböző tanúsítványokat is megszerezhetnek munkájukhoz kapcsolódóan, illetve egyes külföldi egyetemeken elérhetőek hasonló képzések, szakirányok.

Az egyik legismertebb, legkedveltebb minősítés a Certified Ethical Hacker. A hallgatók elméleti és gyakorlati oktatáson is részt vesznek, mielőtt vizsgára kerülne a sor, majd pedig megírják a 4 órás vizsgát.

Te már rendelkezel ilyen minősítéssel? Akkor Neked is itt a helyed!

Jelentkezz hozzánk etikus hackernek!

Olvasd el korábbi bejegyzéseinket a témához kapcsolódóan:

Hogyan lesz valaki sikeres bug bounty hacker?

Vendégblog: Interjú az etikus hackerrel

Ügyfeleink sérülékenységei és megoldásuk

További publikációink