Začíname s Hacktrophy: Aké informácie získate od etických hackerov

  • 13.09.2017
  • 8 min. čítanie

Bug bounty programy prinášajú unikátnu možnosť využívať znalosti a skúsenosti komunity etických hackerov. Tí bezprostredne po nájdení bezpečnostnej diery odosielajú majiteľom testovaných systémov hlásenia o detailoch zraniteľností, aby si ich firmy mohli opraviť. Čo všetko v takomto hlásení nájdete? Ako prebieha spolupráca s hackermi cez Hacktrophy?

Report o nájdenej bezpečnostnej diere má v Hacktrophy štandardizovanú štruktúru, bez ohľadu na typ programu, ktorý využívate (BASIC alebo PREMIUM). Jeho úlohou je poskytnúť majiteľovi testovanej online služby (web, mobilná aplikácia, IoT rozhrania…) čo najviac informácií o nájdenom nedostatku (zvyčajne v kóde), jeho type a umiestnení.

Hlásenie o bezpečnostnej chybe štandardne obsahuje:

●       Druh a kategória zraniteľnosti

Zaradenie zraniteľnosti podľa toho, o aký druh bezpečnostnej diery ide (a do akej kategórie závažnosti patrí), vychádza z tabuľky zraniteľností, ktorú si vytvorí firma vopred vo svojom bug bounty projekte. Za správne zaradenie zraniteľnosti v hlásení zodpovedá etický hacker, pričom v PREMIUM programe kontroluje správnosť zaradenia aj moderátor Hacktrophy. V BASIC programe má zas firma možnosť odoslať sťažnosť na nesprávne zaradenie zraniteľnosti do niektorej z kategórií.

●       Potenciálna odmena za nájdenú bezpečnostnú dieru

Obsahuje informáciu o výške vopred stanovenej odmeny (pre daný druh zraniteľnosti), ktorú získa etický hacker po tom, ako bude existencia zraniteľnosti potvrdená. Odmeny za nájdené diery stanovuje spoločnosť vopred – pre etických hackerov sú jednou z najväčších motivácií pri hľadaní chýb a bezpečnostných nedostatkov v online systémoch spoločností.

●       Umiestnenie chyby

Hacker v ňom hlási, kde danú chybu objavil. Umiestnenie je uvádzané vo forme URL adresy, ktorá odkazuje na dotknutú stránku / podstránku spoločnosti, na ktorej sa nachádza nájdená zraniteľnosť. Firma má pri vytváraní bug bounty projektu možnosť rozhodnúť sa, ktoré časti svojho webu alebo aplikácie chce nechať testovať. Takže v prípade, ak hacker nahlási zraniteľnosť mimo tohto zadania, je na dobrej vôli firmy, či mu prizná odmenu. Ak ale nájdená diera spĺňa podmienky bug bounty projektu a je validná, firma je povinná vopred stanovenú odmenu vyplatiť.

Hlásenie o bezpečnostnej diere od etického hackera v Hacktrophy.

 

●       Popis zraniteľnosti

V tomto políčku sa snaží hacker čo najlepšie vysvetliť, o akú zraniteľnosť ide. Pokiaľ to je možné, popis zraniteľnosti obohatí aj časťou kódu, ktorý obsahuje bezpečnostnú dieru.

●       Spôsob odhalenia

Tu etický hacker vysvetľuje, akým spôsobom objavil danú zraniteľnosť. Majiteľom online služby alebo webstránky táto informácia pomôže pri oprave bezpečnostnej diery.

●       Odporúčanie, ako danú zraniteľnosť opraviť

Pokiaľ etický hacker, ktorý nahlásil bezpečnostnú dieru, vie ako ju opraviť alebo odstrániť, môže sa o túto informáciu podeliť s vlastníkom bug bounty projektu. Ten jeho návrh môže implementovať do postupu odstránenia nahlásenej chyby. Túto informáciu však treba brať ako doplnkovú. Platí, že svoj online systém najlepšie pozná jeho autor (architekt, programátor…), ktorý nahlásenú chybu môže odstrániť pokojne aj iným spôsobom.

Ako prebieha štandardný proces opravy bezpečnostnej diery?

Dôležitou súčasťou reportu o nájdenej chybe je status hlásenia. Ten sa mení podľa toho, v akom stave je riešenie daného bezpečnostného nedostatku. Do procesu vstupuje tak hacker, ako aj firma, ktorá vlastní bug bounty projekt, prípadne pridelený moderátor v rámci PREMIUM programu.

Prirodzený proces statusu, pokiaľ nie je hlásenie stornované samotným etickým hackerom, je takýto:

●       Nové hlásenie o bezpečnostnej zraniteľnosti

Počiatočný stav hlásenia určuje majiteľ bug bounty programu (v BASIC programe) alebo pridelený moderátor (v PREMIUM programe). Hlásenie je možné prijať  alebo odmietnuť, a to na základe jeho validity a súladu so zverejnenými podmienkami bug bounty projektu. O prípadných nejasnostiach alebo problémoch s podaním hlásenia môže komunikovať firma, resp. moderátor s hackerom priamo v komentároch pod daným hlásením.

●      Diera zadaná na opravu

Pokiaľ majiteľ bug bounty programu alebo moderátor (v jeho mene) prijme hlásenie od etického hackera, môže jeho stav zmeniť na „Zadané na opravu“. Tento status informuje hackera o tom, že jeho chyba bola prijatá a pracuje sa na jej odstránení. Súbežne s tým posielame firme faktúru s príslušnou odmenou pre hackera a našou 20 %-nou províziou z tejto odmeny.

●      Zraniteľnosť je opravená

Status „Opravené“ môžete nastaviť vtedy, ak bola daná bezpečnostná chyba odstránená. Predpokladáme, že sa majiteľ bug bounty projektu bude snažiť dieru fixnúť čo najskôr. Prípadné nejasnosti môže konzultovať tak s prideleným moderátorom (v PREMIUM programe), ako aj priamo s etickým hackerom v rámci diskusie pod hlásením.

●      Preverenie opravy

Po opravení bezpečnostnej zraniteľnosti môže firma požiadať o preverenie správnosti opravy tak hackera, ako aj moderátora (v PREMIUM programe). Potom môže spoločnosť zmeniť status reportu na „Opravené (oprava preverená)“.

●      Zverejnenie hlásenia pre verejnosť

Etický hacker, prípadne aj moderátor, vás môžu požiadať o zverejnenie (publikovanie) hlásenie o opravenej zraniteľnosti. V zahraničných bug bounty programoch je pomerne bežné fixnuté zraniteľnosti zverejňovať, aby si ju mohli opraviť aj ďalší používatelia softvéru. Zároveň to etickým hackerom umožňuje budovať si profesionálnu reputáciu. Avšak v Hacktrophy je vždy plne v kompetencii firmy – vlastníka bug bounty projektu, či zraniteľnosť zverejní. Ak sa tak rozhodne, môže tak spraviť v nastaveniach hlásenia: Upraviť (Edit) > Publikovať (Publish).

Po ukončení „životného“ cyklu hlásenia je etickému hackerovi vyplatená odmena za nájdenie chyby a môže prejsť na pátranie po ďalších zraniteľnostiach.

Výhodou bug bounty programov je to, že spoločnosti platia len za reálne chyby, ktoré hackeri objavia v ich online systéme. Firma tak zaplatí len za skutočné „vylepšenie“ svojej bezpečnosti. To predstavuje významný rozdiel oproti bežným IT security firmám, kde napríklad za pentest musíte zaplatiť nie malú sumu aj v prípade, ak test neodhalí žiaden bezpečnostný problém.

Testovanie pomocou bug bounty projektov sa najmä v anglosaskom svete používa už viac ako 20 rokov. Využívajú ho tak veľké spoločnosti ako aj stredné firmy, ktoré si nemôžu dovoliť nákladné overovanie IT bezpečnosti. Ak zvažujete využitie bug bounty programu vo vašej spoločnosti, neváhajte nás kontaktovať, radi vám objasníme ďalšie detaily z fungovania Hacktrophy.

Newsletter

Novinky o IT bezpečnosti pre firmy

Chcete vašu firmu udržať bezpečnou? Prihláste sa k odberu nášho newslettera a dostávajte tipy a novinky zo sveta online bezpečnosti.

Chcem novinky