Bug bounty, mint őrszem a céged szolgálatában

Hallottál már a bug bounty programról? 

A bug bounty egy olyan szolgáltatás, amely során etikus hackerek tesztelik rendszereidet, hogy megtalálják az esetleges biztonsági sérülékenységeket.

A külföldi országokban, főleg Nyugaton kifejezetten elterjedt ez a megoldás. Egyre többen veszik igénybe ezt a fajta szolgáltatást, a legnagyobbakkal az élen: Facebook, Google, Apple, Snapchat, Yahoo, Intel, Dropbox, Paypal és még sokan mások. 

Magyarországon ez egyelőre gyerek cipőben jár, a legtöbb cég még csak most ismerkedik ezzel a lehetőséggel. A HACKTIFY Magyarország, valamint a régió első Bug Bounty és sérülékenység közzétételi platformja, ami összeköti a cégeket az etikus hackerekkel.

Mikor kezdődött a bug bounty?

A bug bounty története egészen 1983-ig nyúlik vissza, mikor is a Hunter & Ready cég felajánlott egy Volkswagen Beetle autót annak, aki hibát talál a Versatile Real-Time Executive operációs rendszerében.

Pár évvel később 1995-ben a Netscape indította el az első technológiai hibavadász programot a Netscape Navigator 2.0 Béta verziójára. Az ötletgazda James Ridlinghafer volt, aki észrevette, hogy a cégnél többen is rajongtak a böngészőért és jóindulatból kijavították a program hibáit. Amikor elindították a bug bounty programot, pénzt ajánlottak azoknak, akik képesek voltak hibákat találni a 2.0 verzióban.

Őket követték 2002-2005 között az első exploit szolgáltatók (iDefense, Zero Day Initiative) és a Mozilla, majd 2010-11-ben a Google és a Facebook saját Bug Bounty programot indított.

2011-ben elindult az első Bug Bounty platform az Amerikai Egyesült államokban,  ugyanis a cégek rájöttek a hibavadász programok előnyeire. Mivel nagy humánerőforrást követelt tőlük a bejövő riportok validálása, nyomonkövetése saját erőforrásból, így egyszerűbb és kifizetődőbb volt kiszervezni ezt a tevékenységet.

2020-ban létrejött a HACKTIFY platform, ami a magyar cégek számára is elhozta a bug bounty lehetőségét.

Hogyan zajlik egy bug bounty program?

1. Program meghatározása

A megkeresés után egy online meeting keretein belül megbeszéljük a cég tulajdonosával,ügyvezetőjével vagy IT vezetőjével, hogy melyik program lenne számára a legmegfelelőbb: publikus, privát vagy helyszíni program.

Publikus program: Nyitott program, a Hacktify oldalon regisztrált összes hacker láthatja ezeknek a programoknak a részleteit, jelentkezhet, és elkezdhet sérülékenységet keresni.

Mikor válaszd?

  • ha céged szolgáltatásai már élő rendszerek az interneten
  • ha szeretnéd, hogy ne csak 1-2 hacker tesztelje a rendszered, hanem egy egész közösség
  • ha kevesebb pénzt szeretnél ráfordítani

Privát program: Csak a céged által kiválasztott etikus hackerek kapnak meghívást, akiket a ranglistán lévő információbiztonsági szakemberek közül választhatsz ki. A privát programnál magasabb jutalékot ígérhetsz a sérülékenységekért.

Mikor válaszd?

  • ha limitálni szeretnéd a résztvevők számát és csak a legjobb szakemberekkel dolgoznál együtt
  • ha magasabb jutalékot ajánlanál ezért a prémium programért
  • ha először ki szeretnéd próbálni a folyamatot és kevesebb számú hacker közreműködésében kisebb kockázatot látsz
  • ha egy új terméket szeretnél teszteltetni a megjelenés előtt határozott idejű szerződéssel.

A HackerOne 2019-es tanulmánya alapján a cégek 21%-a választja a publikus programot és 79% a privát programot.

Helyszíni program: Ez a legdiszkrétebb program típusunk, mely során az általad kiválasztott etikus hackerekkel dolgozhatsz együtt a saját céges környezetedben. A hibák felderítése a helyszínen történik, ezért azonnal nekiállhatsz a javításuknak.

Mikor válaszd?

  • ha a legnagyobb diszkrécióra törekszel
  • ha a még nem piacon lévő termékeidet is teszteltetnéd
  • ha egy gyors és rövidtávú programot szeretnél magas pénzjutalmakkal 
  • ha a saját laborodban szeretnéd a tesztelést végrehajtani

A program kiválasztása után a részleteket beszéljük meg: melyik szolgáltatást szeretnéd tesztelni, milyen sérülékenységre vagy kíváncsi, van-e olyan rész, ami out of scope (tehát a hackerek számára tiltott rész), mekkora pénzügyi jutalom jár a hibákért stb.

2. Szerződéskötés

Ha az IT csapatoddal megbeszélted a részleteket és elfogadod a feltételeket, akkor megkötjük a szerződést, ezután pedig megnyitjuk a programot. Publikus program esetén a hackerek értesítést kapnak az új lehetőségről. Privát és helyszíni program esetén az etikus hackerek kiválasztása után a meghívókat küldjük ki számukra.

3. Hibavadászat

Kezdődhet a hibavadászat! Az etikus hackerek nekiállnak tesztelni a céged által kért rendszereket.

4. Riport ellenőrzése

Ha az etikus hacker sérülékenységet talál, kitölti a riportot és továbbítja nekünk. Mi ellenőrizzük, hogy megfelel-e a szabályoknak, valamint, hogy ez a hiba be volt-e már jelentve. Ha megfelelőnek találjuk a riportot, továbbítjuk a tulajdonosnak, ő pedig a hiba ellenőrzése után értesítést küld annak elfogadásáról.

A bountyk esetén megtalált sérülékenységek legnagyobb része (41%) átlagos hiba, ugyanakkor fontos megemlíteni, hogy a negyede (25%) súlyos vagy kritikus hiba, amely nagy veszélyt jelent a vállalatokra nézve. (HackerOne)

5. Jutalom kifizetése

Ezt a lépést követi a jutalom kifizetése. A talált bug-okra járó jutalom kifizetésre kerül a bejelentőnek. A jutalom mellett pontokat is gyűjthetnek, melyek hozzáadódnak a hackerek profiljához. Ezzel feljebb juthatnak a ranglistán és részvételt szerezhetnek a privát programokban. A pontozási rendszer alapján látható, hogy társaihoz képest mennyire kiemelkedő egy adott hacker.

Honnan tudhatom, hogy megbízhatok a hackerekben és nem adják tovább az adataimat?

Többféle hacker típust különböztethetünk meg. Léteznek fekete kalapos hackerek, szürke kalapos hackerek és fehér kalapos hackerek is. Mi a fehér kalapos vagy más néven etikus hackerekkel dolgozunk együtt, akik kiváló informatikai szakemberek. Tudásukat arra használják fel, hogy megbízás alapján, a szabályokat betartva sérülékenységeket keressenek egy adott rendszerben.

A regisztráció során a hackerek elfogadják a tesztelésre vonatkozó szabályokat, használati feltételeket és ezek alapján végzik munkájukat. A tesztelés során titoktartási kötelezettség köti őket (ezt szerződés formájában is rögzítjük), így nem hozhatnak nyilvánosságra semmilyen információt. A sérülékenységek csak az engedélyezett személyek számára hozzáférhetőek.

Bug bountyval felvértezve

Bug bounty programra mindenkinek szüksége lehet. Feltörések, támadások mindig érhetik a céget, ezért jobb megelőzni az ilyen problémákat. A mai digitális világban szükségünk van egy olyan eszközre, amivel biztosítani tudjuk szolgáltatásunk biztonságát.

A bug bounty programok legnagyobb része az internetes és online szolgáltatások, az informatikai szoftverek, valamint a pénzügyi és a média szolgáltatások esetén fordulnak elő. (HackerOne)

A bug bounty programmal cégedet biztonságban érezheted, tisztában lehetsz a hiányosságaival és tudhatod, hogy mindent megtettél annak érdekében, hogy elkerüld a támadásokat. Ahogy a digitalizáció fejlődik, egyre több sérülékenység jelenik meg, ezért szükségszerű a folyamatos ellenőrzés.

Gondolhatjuk, hogy kis cég létünkre minket elkerülnek a támadások, de ebben sohasem lehetünk biztosak. A hackerek nem tesznek különbséget kis és nagy cég között, nem csak a nagy vállalatokat veszik célba. 

Amennyiben erősen korlátozottak a pénzügyi forrásaink, akkor is indíthatunk bug bounty programot, hiszen a cég szabhatja meg, hogy mekkora összeget tud ráfordítani. A hibakeresés addig folytatódik, míg az etikus hackerek el nem érik ezt a keretet. Emellett pedig csak akkor kell fizetni, ha a hackerek sérülékenységet találnak. Ha nem találnak semmit, a vizsgálat ingyen volt. Egy ilyen program csak előnyére válhat a cégnek, hiszen egy sikeres program után az ügyfeleik is nagyobb biztonságban érezhetik az adataikat.

Az elmúlt évek példáiból tanulva legyünk előrelátók és amennyire csak tudjuk, akadályozzuk meg a lehetséges támadásokat azáltal, hogy elvégezzük a frissítéseket, mentünk, titkosítunk, kontroll alatt tartjuk sérülékenységeinket, hiszen a bírság összege sokkal nagyobb lesz, mint amennyit a biztonságra kellene fordítani.

Vedd fel a harcot a rossz oldalon álló hackerekkel szemben és tartozz te is a nagyok közé! 

Keress minket bizalommal, és megtaláljuk a legjobb megoldást céged számára!

További publikációink