Bug bounty programy prinášajú unikátnu možnosť využívať znalosti a skúsenosti komunity etických hackerov. Tí bezprostredne po nájdení bezpečnostnej diery odosielajú majiteľom testovaných systémov hlásenia o detailoch zraniteľností, aby si ich firmy mohli opraviť. Čo všetko v takomto hlásení nájdete? Ako prebieha spolupráca s hackermi cez Hacktrophy?
Report o nájdenej bezpečnostnej diere má v Hacktrophy štandardizovanú štruktúru, bez ohľadu na typ programu (balíčka), ktorý využívate. Jeho úlohou je poskytnúť majiteľovi testovanej online služby (web, mobilná aplikácia, IoT rozhrania…) čo najviac informácií o nájdenom nedostatku (zvyčajne v kóde), jeho type a umiestnení.
Hlásenie o bezpečnostnej chybe štandardne obsahuje:
● Druh a kategória zraniteľnosti
Zaradenie zraniteľnosti podľa toho, o aký druh bezpečnostnej diery ide (a do akej kategórie závažnosti patrí), vychádza z tabuľky zraniteľností, ktorú si vytvorí firma vopred vo svojom bug bounty projekte. Za správne zaradenie zraniteľnosti v hlásení zodpovedá etický hacker, pričom správnosť zaradenia kontroluje moderátor Hacktrophy.
● Potenciálna odmena za nájdenú bezpečnostnú dieru
Obsahuje informáciu o výške vopred stanovenej odmeny (pre daný druh zraniteľnosti), ktorú získa etický hacker po tom, ako bude existencia zraniteľnosti potvrdená. Odmeny za nájdené diery stanovuje spoločnosť vopred – pre etických hackerov sú jednou z najväčších motivácií pri hľadaní chýb a bezpečnostných nedostatkov v online systémoch spoločností.
● Umiestnenie chyby
Hacker v ňom hlási, kde danú chybu objavil. Umiestnenie je uvádzané vo forme URL adresy, ktorá odkazuje na dotknutú stránku / podstránku spoločnosti, na ktorej sa nachádza nájdená zraniteľnosť. Firma má pri vytváraní bug bounty projektu možnosť rozhodnúť sa, ktoré časti svojho webu alebo aplikácie chce nechať testovať. Takže v prípade, ak hacker nahlási zraniteľnosť mimo tohto zadania, je na dobrej vôli firmy, či mu prizná odmenu. Ak ale nájdená diera spĺňa podmienky bug bounty projektu a je validná, firma je povinná vopred stanovenú odmenu vyplatiť.
Hlásenie o bezpečnostnej diere od etického hackera v Hacktrophy.
● Popis zraniteľnosti
V tomto políčku sa snaží hacker čo najlepšie vysvetliť, o akú zraniteľnosť ide. Pokiaľ to je možné, popis zraniteľnosti obohatí aj časťou kódu, ktorý obsahuje bezpečnostnú dieru.
● Spôsob odhalenia
Tu etický hacker vysvetľuje, akým spôsobom objavil danú zraniteľnosť. Majiteľom online služby alebo webstránky táto informácia pomôže pri oprave bezpečnostnej diery.
● Odporúčanie, ako danú zraniteľnosť opraviť
Pokiaľ etický hacker, ktorý nahlásil bezpečnostnú dieru, vie ako ju opraviť alebo odstrániť, môže sa o túto informáciu podeliť s vlastníkom bug bounty projektu. Ten jeho návrh môže implementovať do postupu odstránenia nahlásenej chyby. Túto informáciu však treba brať ako doplnkovú. Platí, že svoj online systém najlepšie pozná jeho autor (architekt, programátor…), ktorý nahlásenú chybu môže odstrániť pokojne aj iným spôsobom.
Ako prebieha štandardný proces opravy bezpečnostnej diery?
Dôležitou súčasťou reportu o nájdenej chybe je status hlásenia. Ten sa mení podľa toho, v akom stave je riešenie daného bezpečnostného nedostatku. Do procesu vstupuje tak hacker, ako aj firma, ktorá vlastní bug bounty projekt, prípadne pridelený moderátor.
Prirodzený proces statusu, pokiaľ nie je hlásenie stornované samotným etickým hackerom, je takýto:
● Nové hlásenie o bezpečnostnej zraniteľnosti
Počiatočný stav hlásenia určuje buď majiteľ bug bounty programu alebo pridelený moderátor. Hlásenie je možné prijať alebo odmietnuť, a to na základe jeho validity a súladu so zverejnenými podmienkami bug bounty projektu. O prípadných nejasnostiach alebo problémoch s podaním hlásenia môže komunikovať firma, resp. moderátor s hackerom priamo v komentároch pod daným hlásením.
● Diera zadaná na opravu
Pokiaľ majiteľ bug bounty programu alebo moderátor (v jeho mene) prijme hlásenie od etického hackera, môže jeho stav zmeniť na „Zadané na opravu“. Tento status informuje hackera o tom, že jeho chyba bola prijatá a pracuje sa na jej odstránení.
● Zraniteľnosť je opravená
Status „Opravené“ môžete nastaviť vtedy, ak bola daná bezpečnostná chyba odstránená. Predpokladáme, že sa majiteľ bug bounty projektu bude snažiť dieru fixnúť čo najskôr. Prípadné nejasnosti môže konzultovať tak s prideleným moderátorom, ako aj priamo s etickým hackerom v rámci diskusie pod hlásením.
● Preverenie opravy
Po opravení bezpečnostnej zraniteľnosti môže firma požiadať o preverenie správnosti opravy tak hackera, ako aj moderátora. Potom môže spoločnosť zmeniť status reportu na „Opravené (oprava preverená)“.
● Zverejnenie hlásenia pre verejnosť
Etický hacker, prípadne aj moderátor, vás môžu požiadať o zverejnenie (publikovanie) hlásenie o opravenej zraniteľnosti. V zahraničných bug bounty programoch je pomerne bežné fixnuté zraniteľnosti zverejňovať, aby si ju mohli opraviť aj ďalší používatelia softvéru. Zároveň to etickým hackerom umožňuje budovať si profesionálnu reputáciu. Avšak v Hacktrophy je vždy plne v kompetencii firmy – vlastníka bug bounty projektu, či zraniteľnosť zverejní. Ak sa tak rozhodne, môže tak spraviť v nastaveniach hlásenia: Upraviť (Edit) > Publikovať (Publish).
Po ukončení „životného cyklu“ hlásenia je etickému hackerovi vyplatená odmena za nájdenie chyby a môže prejsť na pátranie po ďalších zraniteľnostiach.
Výhodou bug bounty programov je to, že spoločnosti platia len za reálne chyby, ktoré hackeri objavia v ich online systéme. Firma tak zaplatí len za skutočné „vylepšenie“ svojej bezpečnosti. To predstavuje významný rozdiel oproti bežným IT security firmám, kde napríklad za pentest musíte zaplatiť nie malú sumu aj v prípade, ak test neodhalí žiaden bezpečnostný problém.
Testovanie pomocou bug bounty projektov sa najmä v anglosaskom svete používa už viac ako 20 rokov. Využívajú ho tak veľké spoločnosti ako aj stredné firmy, ktoré si nemôžu dovoliť nákladné overovanie IT bezpečnosti. Ak zvažujete využitie bug bounty programu vo vašej spoločnosti, neváhajte nás kontaktovať, radi vám objasníme ďalšie detaily z fungovania Hacktrophy.
