Obmedzená skupina ľudí, hoci aj bezpečnostných expertov, sa schopnosťami nikdy nedokáže vyrovnať tisícom zlých hackerov, ktorí potenciálne môžu ohroziť spoločnosti pôsobiace v online prostredí. To, čo je pre firmy ponúkajúce produkty na internete nevýhodou, však možno ľahko zmeniť v ich prospech. Stačí presvedčiť časť hackerov, aby pracovali pre nich. A na to slúžia bug bounty programy.
Bug bounty programy pritom nie sú výmyslom posledných rokov. Spoločnosti sa takmer od vzniku verejného internetu snažia byť informované o nedostatkoch vo svojich online systémoch. Spočiatku sa ale za nájdené bezpečnostné diery neplatilo a jedinou odmenou pre vtedajších predchodcov „etických hackerov“ bolo všeobecné uznanie a poďakovanie. Dnes to už funguje inak.
Prečo by ste mali rozmýšľať nad bug bounty projektom?
Čím väčší obrat spoločnosť má, tým hodnotnejšia a dôležitejšia je pre ňu online bezpečnosť. Odmeny pre etických hackerov predstavujú v priemere 5 % z rozpočtu spoločnosti na vývoj IT projektov. Hoci môže ísť v prípadoch medzinárodných spoločností aj o státisíce eur, ešte vždy to je pre dané firmy výhodné. Pri kybernetickom útoku by totižto mohli prísť o dáta, ktorých zneužitie by ich vyšlo aj niekoľkonásobne drahšie. Nehovoriac o povesti, ktorá býva často po kybernetickom útoku nenapraviteľne poškodená.
Známou obeťou kybernetického útoku je napríklad spoločnosť Adobe. Tá v roku 2013 prišla kvôli chybe v bezpečnosti a dômyselnosti hackerov o citlivé údaje 36 miliónov zákazníkov. Išlo o ich prihlasovacie údaje (vrátane pôvodne šifrovaných hesiel) a platobné údaje približne 3,1 milióna používateľov. Škoda bola doslova nevyčísliteľná.
Za najväčší kybernetický útok v histórii sa ale dá pokladať únik informácií zo serverov spoločnosti Yahoo. Tá v septembri 2016 priznala, že „black-hat“ hackeri z jej systému ukradli 500 miliónov údajov o kontách ich používateľov. V polovici decembra však šokovalo Yahoo svet ďalším odhalením. V roku 2013 vraj hackeri z ich databázy ukradli dáta o 1 miliarde používateľov.
O tom, čo je bug bounty program a prečo by ste ho mali využiť aj vy, sme už písali. Dnes vám predstavíme bug bounty programy 5 veľkých spoločností a organizácií. Pozná ich každý z vás a chceme, aby ste si vedeli urobiť mienku o tom, koľko investujú do online bezpečnosti.
5 veľkých spoločností a organizácií, ktoré majú vlastné bug bounty programy
Spoločnosť Facebook využíva vlastný bug bounty program už viac ako 5 rokov. Ich prístup k práci etických hackerov je naozaj ukážkový. V prvej polovici roku 2016 bolo Facebooku nahlásených viac ako 9000 prípadov bezpečnostných nedostatkov, pričom bolo odmenených 149 hackerov celkovou sumou $611,741. Odkedy Facebook spustil vlastný bug bounty program, 900 etickým hackerom rozdal viac ako 5 miliónov amerických dolárov.
V novembri 2013 nahlásil brazílsky počítačový expert Reginaldo Silva Facebooku zatiaľ najväčší bug v jeho systéme. Ten sa týkal autentifikačného systému OpenID, ktorý bolo možné napadnúť na diaľku a odchytávať citlivé dáta používateľov. Za objavenie tejto chyby dostal od Facebooku odmenu v celkovej výške $33,500.
Spoločnosť Google, aktuálne už patriaca pod materskú firmu Alphabet, ponúka etickým hackerom možnosť zapojiť za hneď do niekoľkých bug bounty programov, ktoré sú rozdelené podľa jednotlivých služieb. Najväčší bug bounty program spoločnosti zameraný na domény google.com, youtube.com a blogger.com funguje už od roku 2010. Jednotlivé bezpečnostné nedostatky, ktoré objavia etickí hackeri, sú Googlom odmenené sumou $100 až $20,000.
Apple
Spoločnosť Apple si vytvorila vlastný bug bounty program po tom, ako od nich FBI žiadalo v roku 2016 prístup do zamknutého a zašifrovaného iPhone-u útočníka zo známeho prípadu z amerického mesta San Bernardino. Program je dostupný len pre etických hackerov, ktorých pozve samotný Apple. Komu sa ale podarí takúto pozvánku získať, ten môže hľadať bezpečnostné chyby, za ktoré sú vypísané odmeny až do výšky $200,000.
PayPal
Dôležitosť komplexnej online bezpečnosti si uvedomuje aj spoločnosť PayPal, ktorá denne stojí za stovkami tisícov online platieb, ktorých hodnota sa pohybuje v miliónoch eur. Za nájdené bezpečnostné chyby platí PayPal etickým hackerom od $50 do $10,000, pričom si najviac váži nedostatky týkajúce sa úniku citlivých dát svojich používateľov.
Pentagon
Bug bounty programy nemusia využívať len komerčné spoločnosti. Služby etických hackerov často vyhľadávajú aj vládne organizácie, čoho dôkazom je bug bounty program Pentagonu. Ten funguje od roku 2016 a Ministerstvo obrany USA v ňom vypláca odmeny od $100 do $15,000 za každú nájdenú bezpečnostnú chybu.
[Štatistika Pentagon bug bounty programu]
Chcete začať aj vy?
Na vytvorenie vlastného bug bounty programu dnes nepotrebujete drahý tím bezpečnostných expertov. Tipy, koľko by ste mali investovať do vašej bezpečnosti, sa dozviete v našom e-booku, ktorý získate po registrácii nna Hacktrophy. S nastavením vášho vlastného projektu na hľadanie bezpečnostných dier vám zas radi poradia naši odborníci.
Vlastníte alebo spravujete malý či stredne veľký podnik? Prečítajte si, prečo by ste sa mali zapojiť do bug bounty programu!
