Prvý stredoeurópsky bug bounty program Hacktrophy má za sebou rok existencie. Budovanie služby tohto typu v srdci Európy nie je jednoduchá úloha. Rozhodli sme sa do toho ísť cestou proaktívneho vzdelávania firiem o dôležitosti testovania online bezpečnosti, aj pomocou spojenia s komunitou etických hackerov (nielen) z nášho regiónu.
Výzvy a prekážky etického hackingu u nás
Vytvorenie platformy pre bug bounty projekty v strednej Európe so sebou nieslo viaceré výzvy. V prvom rade už samotná predstava spolupráce s etickými hackermi bola pre mnohých problém. Stretávali sme sa tiež s tým, že niekedy ani bezpečnostní experti nepoznali túto formu testovania IT bezpečnosti a boli tak voči nej skeptickí.
Veľa času nám preto zaberá objasňovanie ako bug bounty projekt funguje a prečo by ho firmy mali využívať. Povedomie, že naozaj každá firma je potenciálnym cieľom kybernetického útoku, a tak úroveň IT bezpečnosti netreba podceňovať je u nás ešte stále nedostatočné. Preto sme si zvolili cestu edukácie, či už prezentáciami na desiatkach odborných podujatí alebo blogmi.
Ak sa firma už rozhodla ísť do bug bounty projektu, veľkú výzvu predstavovala diskusia o jeho charaktere ako aj následné detailné nastavenie. To niekedy zaberie aj niekoľko týždňov alebo mesiacov. Situáciu komplikujú napríklad zložito nastavené rozhodovacie procesy vo firmách a technické náležitosti, ktoré je pri bug bounty programoch potrebné zabezpečiť (testovacie prostredie, špeciálne prístupy pre hackerov, zoznam výnimiek z testovania a pod.).
Source: ccpe.kennesaw.edu
Praktické skúsenosti s tvorbou a manažmentom bug bounty projektu
Pri tvorbe bug bounty programu musíme brať ohľad na skúsenosti klienta s testovaním bezpečnosti, predošlé penetračné testy, špecifické nároky produktu alebo služby, charakter citlivých firemných údajov a v neposlednom rade aj na testovací rozpočet.
K najťažším rozhodnutiam pre firmy patrí správne nastavenie výšky odmien pre etických hackerov. Vyplýva to z nedostatku skúseností a výšky financií, ktoré spoločnosť vyčleňuje na testovanie bezpečnosti. Ani zďaleka nie každá česká či slovenská spoločnosť investuje do svojej bezpečnosti odporúčaných 5 % z budgetu na vývoj. Spoločnostiam preto aktívne pomáhame so stanovením optimálnych odmien, ako aj s ďalšími parametrami bug bounty programu.
Z našich skúseností vieme, že problémom býva aj náprava objavených zraniteľností. Firmy sa venujú prioritne len vážnym zraniteľnostiam a ich oprava trvá často príliš dlho, čo nás stavia do nekomfortnej pozície voči samotným hackerom. V priemere trvá niekoľko týždňov, kým firma označí zraniteľnosť za opravenú. Bez zmeny statusu danej chyby nevieme my ani hacker, ktorý ju nahlásil, skontrolovať validitu jej opravy. V Hacktrophy vyplácame odmeny hackerom až po odstránení problému, a tak treba v bug bounty projektoch vhodne komunikovať, ak firma nemá kapacitu na rýchlu nápravu chýb.
Spolu s našimi klientmi sa učíme, ako čo najefektívnejšie nastaviť komunikáciu medzi moderátormi, ktorí sú ich predĺženou rukou, a samotnými etickými hackermi. Hľadáme efektívnu cestu, ako spoločnosť čo najmenej zaťažovať samotným chodom projektu, no neukrátiť ju o žiadne dôležité informácie. Začína to obyčajným rozposielaním notifikačných e-mailov a končí to možnosťou privátneho chatu s prideleným moderátorom.
Odmeny pre hackerov, nový web i cenové balíky
Naša platforma doteraz vyplatila odmeny v troch menách – česká koruna (CZK), euro (EUR) a Bitcoin (BTC). Z našej komunikácie vyplýva, že etickí hackeri uprednostňujú platby v eurách.
Počas prvého roku fungovania sme od klientov získali množstvo spätnej väzby, ktorá nám umožnila pochopiť, aké informácie sú pre klientov podstatné a aký cenový model uprednostňujú. Dôsledkom toho bol redizajn nášho webu a tvorba nového cenového modelu – máme nové balíky Hacktrophy a pre náročných klientov sme ponechali aj možnosť vyskladania si balíku podľa seba.
Balíky Hacktrophy umožňujú firmám lepšie nastaviť rozpočet na testovanie bezpečnosti, pričom priamo vidia, na čo budú ich peniaze použité. Zároveň môžeme otvorene prehlásiť, že naše služby sú stále výrazne lacnejšie ako pri podobných platformách v zahraničí.
Etickí hackeri môžu ušetriť firmám ročne desaťtisíce
Aj napriek krátkemu časovému horizontu sa nám podarilo dosiahnuť viacero míľnikov, na ktoré sme hrdí. Za rok sa do našej komunity pridalo viac ako 450 hackerov. Viac ako 70 % z nich tvoria etickí hackeri zo Slovenska a Českej republiky. Jedna z výziev, ktorej čelíme je rozšírenie Hacktrophy aj o špecialistov z ďalších krajín.
Bezpečnostní testeri nahlásili firmám pomocou Hacktrophy celkovo viac ako 200 zraniteľností ich online systémov, z čoho sa 78 zraniteľností ukázalo ako validných. 15 z validných zraniteľností predstavovalo vysoké riziko napadnutia.
Etickí hackeri si za rok fungovania našej platformy prilepšili o takmer 10 500 EUR, pričom najvyššia jednorazová hodnota odmeny pre hackera predstavovala 1238 EUR. Firmy však opravením týchto bezpečnostných nedostatkov ušetrili teoreticky až desaťtísice eur, o ktoré by mohli prísť v dôsledku hacknutia black-hat hackerom.
Odborný pohľad moderátora
O bug bounty projekty našich klientov sa starajú moderátori, čo sú kvalifikovaní IT security špecialisti. Jedným z nich je Roman Fülöp, ktorý ponúkol svoj pohľad na dosiahnuté výsledky testovania cez Hacktrophy:
„Výsledky ukazujú niekoľko možných zaujímavých metrík. Viac ako 60 % hlásení sme označili ako falošné pozitíva (false positives). Predstavovali ich hlásenia mimo rozsahu testovania, duplikáty alebo hlásenia odmietnuté z iných dôvodov. Okrem iného to ilustruje aj mieru zdrojov, ktoré dokážeme zákazníkovi ušetriť.
Zaujímavosťou je, že etickí hackeri nahlasujú aj také typy zraniteľností, za ktoré nedostanú odmenu – nielen že to považujú za etické, ale pomáha to aj ich reputácii.
Väčšina zraniteľností ohodnotených nízkou závažnosťou pozostávala z rôznych problémov spojených s SSL/TLS. Môže za to nevedomosť vývojárov o mechanizmoch, ktoré dopĺňajú SSL/TLS šifrovanie, ako napríklad príznaky cookies alebo HSTS, ale aj rýchly vývoj a objavovanie nových problémov na vrstve SSL. Protokoly, šifrovacie množiny, sila kľúčov a ďalšie parametre, ktoré boli vyhovujúce pred rokom, dnes už pravdepodobne dostatočné nie sú.
Medzi stredne a vysoko hodnotenými zraniteľnosťami nájdeme najčastejšie IDOR (Insecure Direct Object Reference) alebo horizontálnou eskaláciou privilégií, rôzne typy XSS (Cross-site Scripting), CSRF (Cross-Site Request Forgery) a fixáciu relácie. Aj keď je niekedy ľahké v aplikácii opomenúť striktné kontroly autorizácie, validácia vstupu a výstupu a ochrana proti CSRF je už bežnou súčasťou mnohých aplikačných frameworkov – napriek tomu sa zraniteľnosti typu XSS a XSRF neustále objavujú.
Ďalšie kritické problémy, ako napríklad LFI (Local File Inclusion), RCE (Remote Code Execution) a SQL injection neboli vôbec potvrdené. Vzhľadom na to, že v súčasnosti už snáď nikto nepíše SQL príkazy manuálne, ide o prirodzený jav.
Za zmienku stojí aj to, že sa vyskytlo množstvo hlásení o nesprávnej alebo úplne chýbajúcej konfigurácie SPF (alebo iných podobných mechanizmov), a hoci problémy s infraštruktúrou boli zvyčajne postavené mimo rozsahu testovania, zákazníci sa o ne zaujímali. Možnosť falšovania e-mailov s následkom phishingu alebo straty reputácie sa zdá byť väčším rizikom, ako by sa zdalo na prvý pohľad.“
(Ak ste nerozumeli pojmom, ktoré vo svojom zhrnutí použil Roman, prečítajte si náš Popis základných zraniteľností.)
Aké novinky pripravujeme?
Tento rok sme do aplikácie Hacktrophy úspešne integrovali možnosť 2-faktorového overenia (2FA), pridali možnosti pre nastavenie ročných limitov odmien (mesačné limity sú dostupné od začiatku), odporúčania hackerov na opravu nahlásenej zraniteľnosti, rozšírenie možností pre e-mailové notifikácie o jednotlivých procesoch v rámci projektu, ale aj možnosť vyplácania odmien hackerom v iných menách ako euro. Rozhodne však s vylepšeniami nekončíme.
Aktuálne pracujeme na vytvorení hodnotiaceho systému pre etických hackerov. Pomôže nám riešiť falošné hlásenia zraniteľností. Prínos ale bude mať aj pre vás v rámci privátnych bug bounty programov, do ktorých si na základe hodnotenia budete môcť prizvať pre vás relevantných testerov.
V neposlednom rade pracujeme aj na vylepšeniach dizajnu a použiteľnosti našej aplikácie a webstránky. Nový dizajn, ktorý sme na webe aktualizovali len pred pár týždňami, už dnes ponúka viaceré praktické informácie nielen o Hacktrophy.
Do budúcna chceme okrem edukácie klientov pokračovať aj v prinášaní noviniek z oblasti testovania bezpečnosti a užitočných tém pre hackerov. Chceme vybudovať komunitu, ktorá rozumie moderným trendom testovania bezpečnosti a chápe, že bezpečnosť je základným úspechom vývoja a predaja akéhokoľvek produktu či služby. Chcete byť súčasťou nášho projektu? Neváhajte nás kontaktovať.
Roman Jazudek, CEO Hacktrophy
