A rohamos sebességgel fejlődő informatikai rendszerek, felhő alapú szolgáltatások és más automatizált folyamatok világában sokkal nagyobb figyelmet kell fordítanunk az IT biztonságra és a különböző biztonsági vizsgálatok elvégzésére.
Miután az etikus hackereket már több különféle oldalról körbejártuk, most megnézzük, hogy egy sérülékenység vizsgálat során, hogyan kell elkészíteniük egy bug bounty riportot; milyen szempontokat kell figyelembe venniük; illetve, hogy mi hogyan ellenőrizzük ezeket a bejelentéseket.
Miután az etikus hackereket már több különféle oldalról körbejártuk, most megnézzük, hogyan kell elkészíteniük egy bug bounty riportot; milyen szempontokat kell figyelembe venniük; illetve, hogy mi hogyan ellenőrizzük ezeket a bejelentéseket.
Egy bug bounty program során a cégek riport formájában kapják meg az eredményeket és a javaslatokat.
Nézzük meg, hogyan is épül fel egy ilyen riport!
A jelentés alkotóelemei
Felület: A program alatt lévő in-scope domainek közül tud választani egyet az etikus hacker. Ha esetlegesen másik domainen is megtalálható ugyanaz a hiba, akkor arra külön riportot kell benyújtania és külön jutalomban is részesül érte.
Hiba típusa: Itt a fellelt hiba típusát tudja kiválasztani a hacker. A sérülékenységeket listázó katalógus szerinti CWE nevet és kódjelet van lehetőség megjelölni (CWE=Common Weakness Enumeration).
Hiba súlyossága: 5 súlyossági besorolást különböztetünk meg. Ezek a következők: Semmi, Alacsony, Közepes, Magas, Kritikus.
A koncepció bizonyításához szükséges elemek
Cím: Ide kerül a sérülékenységnek adott név.
Leírás: Ez egy szöveges mező, ahol a hacker részletesebb leírást adhat a talált sérülékenységről és arról, hogy hogyan tudta reprodukálni.
Hatás: A hatás mezőben a hacker azt is kifejti, hogy milyen következménye lehet a cég számára, ha nem javítják ki a hibát.
Mindezek szemléltetésére csatolható kép, illetve videó is.
Riport beküldése: Csak akkor lesz aktív a riport, ha a kötelező mezők kitöltésre kerültek.
Az etikus hacker a tesztelés során talált sérülékenységet bejelenti a riport kitöltésével. Kitölti a fent leírt mezőket és beküldi a riportot, amit mi, a HACKTIFY csapata ellenőrzünk.
A validálás is egy fontos része a szolgáltatásunknak, hiszen így az ügyfél minőségi, többszörösen ellenőrzött riportot kap kézhez. Ezen kívül pedig elkerülhetők a duplikációk, vagyis egy hibáról csak egyszer kap értesítést a megbízó. Duplikáció esetén szabályzatunk szerint a hibát elsőként megtaláló hacker részesül jutalomban.
A megkapott anyaghoz mi generálunk egy linket és egy jelszót, ezt osztjuk meg az ügyféllel. Nem küldjük el e-mailben, csak a linken keresztül férhetnek hozzá, ezzel is védve az ügyfél adatait.
Mire kell figyelnie a hackernek a tesztelés és a bejelentés során?
Program követése
Az egyik legfontosabb, hogy kövesse a program leírását és csak a megadott scope-on belül dolgozzon. Scope-on kívüli hibák még nem érkeztek be hozzánk. Szigorúan elvárjuk az etikus hackereinktől, hogy a program leírásához ragaszkodjanak, és megteszünk mindent, hogy ne forduljon elő scope-on kívüli bejelentés.
A program leírás szigorúan kiköti, hogy ha a tesztelés során az etikus hacker eljut az adatbázisig, ahol személyes adatok találhatóak, onnét nem léphet tovább. Etikus hackereink szabálykövetőek, nem adódott ebből probléma. Ezen felül titoktartási kötelezettségük is van szerződési feltételeink szerint.
Riport kitöltése
A riport megfelelő kitöltése elengedhetetlen a beküldéshez. Fontos, hogy tartalmazza a fent leírtakat, illetve javaslatot nyújtson a kijavításhoz, így az ügyfelek könnyebben tudják helyreállítani a sérülékenységeket.
Ez a javaslat egy általános javítási lehetőség. Minden sérülékenységhez tartozik egy kód, egy besorolás, és ehhez található egy javításra vonatkozó javaslat. Ezt minden cég máshogy tudja hasznosítani a saját környezetében. De mindenképpen előnyére szolgál, hiszen a javítás által ő is jobb fejlesztővé válik, így később elkerülhetők lesznek ezek a hibák.
A riport kitöltése során célszerű képet vagy videót csatolni, hogy az megkönnyítse a leírás értelmezését. A videók elkészítéséhez mi az offline desktop megoldásokat javasoljuk, így elkerülhető, hogy a mentés a felhőbe kerüljön. Egyszere több videó csatolására is van lehetőség. Ezeket természetesen mi is ellenőrizzük, elkerülvén, hogy valaki vírussal akarjon megtámadni minket.
Reprodukálhatóság
Elengedhetetlen, hogy egy sérülékenység reprodukálható legyen. Ha az etikus hackernek sikerült eljutnia a hibához, de nem lehet még egyszer reprodukálni, előfordulhat, hogy nem is valódi hiba. Mi is végigmegyünk ezen a folyamaton a validálás során, ha valami nem érthető számunkra, pontosítást kérünk. Kizárólag az ellenőrzés után kaphatja meg az ügyfél a jelentést.
A program során az ügyfélnek nem szükséges kapcsolatba lépnie az etikus hackerrel. Minden kommunikációt mi, a HACKTIFY csapata intézünk. Ha kérdés merül fel a sérülékenységi riportokkal kapcsolatban, azt mi közvetítjük a hacker felé. A riporton nem található semmilyen e-mail cím, név, ami a hackerhez köthető.
A bug bounty lezárása után már az ügyfél belátására bízzuk, hogy kijavítja-e az adott hibát, mi ezt már nem ellenőrizzük vissza. Azonban, ha a program határozatlan ideig fut, előzetesen egyeztetünk arról, hogy mi az az időkorlát (pl.: 3 hónap), melynek lejártát követően ugyanazt a hibát be lehet jelenteni. Ha pár hónap után ismét bejelentik ugyanazt a sérülékenységet, akkor látható, hogy még mindig nem került javításra.
A riportokat a beérkezést követő három napon belül küldjük az ügyfélnek. Azonban akadnak kivételek is, például, ha egy nap beérkezik hozzánk 20 sérülékenységi riport, akkor nem egyesével terheljük az ügyfelet, összesítve küldjük őket.
Amennyiben az ügyfél igényli, van lehetőség arra, hogy a program lezárása után egy egységesített riportban kiküldjük az összes bejelentést. Azonban, ha egy kritikus sérülékenység érkezik, arról azonnal informáljuk megrendelőnket.
Számunkra nagyon fontos, hogy a bug bounty platform biztonságos és megbízható legyen. Ezért olyan etikus hackerekkel dolgozunk együtt, akik fehér kalapjukat megőrizve, a szabályok betartásával tesztelik a rendszereket.
Ha még több információt szeretnél megtudni, esetleg cégednek szüksége van egy bug bounty programra, keress minket bizalommal vagy látogass el az oldalunkra!
