Testovanie bezpečnosti pomocou bug bounty programov funguje vo svete už desaťročia. Hoci má bohatšiu históriu v anglosaskom svete, postupom času sa začalo objavovať aj v Európe.
Firmy majú pri tomto type testovania bezpečnosti dve možnosti. Môžu si vytvoriť vlastný bug bounty program a viesť ho vo svojej réžii, alebo využiť služby niektorej z bug bounty platforiem, ktoré im pomôžu s vytvorením a správou ich bug bounty projektu.
Bug bounty platformy ponúkajú viaceré výhody – odbúravajú potrebu zamestnať ďalšieho špecialistu na riadenie takéhoto projektu, majú zaregistrovaný väčší počet etických hackerov a vďaka ich geografickej rozličnosti vyhovujú firmám aj po legislatívnej stránke. Práve tá je častým dôvodom, prečo si spoločnosti vyberajú bug bounty program z ich okolia.
Bug bounty programy a legislatíva v Európe
Európske bug bounty programy vychádzajú z európskej legislatívy. K ich výhodám patrí napríklad zamedzenie prístupu neeurópskych tajných služieb, často aj nižšie poplatky, vyšší počet vysokokvalifikovaných white-hat hackerov z Európy či jednoduchšia možnosť osobnej konzultácie v prípade potreby špecifického bug bounty programu.
Dôležitým prvkom v procese rozhodovania by mala byť pre firmy pôsobiace v Európe aj čoskoro platná legislatíva GDPR. Tá na území EÚ stanovuje viaceré pravidlá a povinnosti pre prácu s citlivými dátami, za ktorých porušenie hrozia firmám vysoké pokuty. Obdobne je pre niektoré firmy výhodou aj umiestnenie serverov bug bounty platformy na území Európy.
Európske bug bounty platformy
Aktuálne nájdete v Európe viaceré platformy pre bug bounty programy. Je to samozrejme Hacktrophy, prvý stredoeurópsky bug bounty program, ktorý založili predstavitelia spoločností Citadelo, Nethemba a ESET. Okrem neho však spoločnosti môžu využiť aj ponuku ďalších európskych bug bounty platforiem ako Wavestorm, TestBirds, Yogosha, YesWeHack (BountyFactory.io), Intigriti, Zerocopter a zopár ďalších.
Našim cieľom je ukázať, že aj v Európe dnes už nájdeme široké spektrum bug bounty programov, a teda že nejde o raritný spôsob testovania online bezpečnosti. Naopak, využívajú ho už spoločnosti z rôznych oblastí a veľkostí. Vybrali sme pre vás reprezentatívne príklady, ktoré ukážu, že bug bounty program je vhodný aj na testovanie vašej online bezpečnosti.
Banky a finančné spoločnosti
V rámci bankového sektoru je online bezpečnosť jedným zo základných pilierov podnikania. Nároky používateľov na zabezpečenie ich služieb sú každý rok vyššie, a to si uvedomujú aj samotné spoločnosti. Aj preto využívajú v Európe nejakú formu bug bounty programu viaceré banky a finančné spoločnosti:
Banka N26 – nemecká banka N26 testuje pomocou verejného bug bounty programu bezpečnosť svojich webových stránok, ale aj mobilných aplikácií. Maximálna výška odmeny za nájdenie kritickej zraniteľnosti je $2000.
De Nederlandsche Bank – vlastný bug bounty program vedie aj holandská banka DNB. Testuje v ňom všetky svoje systémy, no nezverejňuje vopred stanovené odmeny za nájdenie zraniteľností.
Trust Pay – platobná brána Trust Pay má vlastný bug bounty program založený cez platformu Hacktrophy. Etickí hackeri v ňom môžu získať za nahlásenie významných zraniteľností odmenu vo výške až 1000 EUR.
Poisťovne
Portfólio životných a neživotných poistení je z hľadiska kybernetického útoku rovnako zaujímavým cieľom ako banky. Na území Európy preto testujú svoju IT bezpečnosť pomocou bug bounty projektov mnohé spoločnosti, napr.:
NN Poisťovňa – holandská poisťovňa NN ponúka privátny bug bounty program na testovanie bezpečnosti všetkých systémov. Ponúka detailné popisy testovacích subjektov a povolených techník, ako aj podmienky reportov.
ING – okrem detailného popisu bezpečnostných nástrah pre klientov ponúka ING aj odmeny za nájdenie zraniteľností. Etickí hackeri a všímaví používatelia ich môžu nahlásiť priamo poisťovni, za čo im bude vyplatená prislúchajúca odmena.
Burzy a kryptoburzy
Finančný tok a obchodovanie s komoditami sú pre black-hat hackerov zaujímavými cieľmi. Všetky burzy by preto mali dbať na čo najvyššie zabezpečenie svojich systémov. Príkladom im môže ísť nemecká burza Bitcoin.de, ktorá ponúka vlastný bug bounty program so zaujímavými odmenami.
Vašej pozornosti by nemala ujsť ani peer-to-peer BTC & LTC krypto-burza Hodl Hodl, ktorá ponúka vo svojom novom bug bounty projekte odmeny až do výšky 1300 EUR.
Priemysel a OEM výrobcovia
V Európe má svoje hlavné sídlo viacero priemyselných a OEM výrobcov. Medzi nimi sa nájdu aj takí, ktorí ponúkajú bug bounty programy. Sú to renomované značky ako:
Schneider Electric – Výrobca elektroniky ponúka bug bounty program pre nahlasovanie zraniteľností v jeho systémoch a produktoch. Reporty vyhodnocuje vlastný CPCERT tím výrobcu.
Philips – aj známy holandský výrobca testuje svoju bezpečnosť pomocou verejného bug bounty programu. Okrem finančných odmien ponúka aj tzv. sieň slávy pre všetkých etických hackerov, ktorí objavili významnú bezpečnostnú zraniteľnosť v niektorom z ich produktov.
Bosch – táto nemecká strojárska a energetická spoločnosť má vlastný bezpečnostný PSIRT tím, no prijíma aj reporty na zraniteľnosti vo vlastnom bezpečnostnom programe.
Softvérové spoločnosti
Ak sa rozprávame o IT bezpečnosti, tak by sa o ňu mali zaujímať logicky najmä spoločnosti, ktoré vystupujú v IT sektore. V Európe je takýchto spoločností viacero, tieto z nich však testujú bezpečnosť aj pomocou bug bounty programov alebo projektov na nahlasovanie bezpečnostných zraniteľností:
SAP – spoločnosť SAP vám zrejme netreba predstavovať. Dnes pôsobí vo viacerých európskych, ale aj mimo-európskych krajinách a dodáva pokročilé biznisové riešenia. O jej bezpečnosť sa stará vlastný tím, ktorý však pracuje aj s verejnosťou nahlásenými reportmi.
Schuberg Philis – holandská IT spoločnosť Schuberg Philis ponúka vlastný program pre nahlasovanie bezpečnostných zraniteľností. Proaktívnych používateľov, ktorí v ich systémoch nájdu nejaký bug, odmení 50 € poukážkou alebo šampanským. 🙂
Hostinger – nemecký poskytovateľ hostingu takisto dbá na svoju bezpečnosť, čoho dôkazom je vlastný bug bounty program na nahlasovanie objavených zraniteľností. Minimálna odmena je vo výške $50, horná hranica odmien nie je stanovená.
Telekomunikácie
Výrobcovia smartfónov, operátori a spoločnosti ponúkajúce svoje služby v telekomunikačnom sektore ponúkajú za nájdenie zraniteľností v ich produktoch alebo službách všeobecne lákavé odmeny.
Deutsche Telekom – jeden z najväčších európskych operátorov a člen skupiny Telekom – Deutsche Telekom – ponúka bug bounty program na testovanie vlastnej webstránky: telekom.de. Ten špecifikuje 5 typov zraniteľností, ktoré sú v prípade nahlásenia pre operátora relevantné.
Orange – francúzsky operátor Orange má síce vlastný CERT tím, no už dlhú dobu ponúka aj vlastný bug bounty program. Zatiaľ čo po minulé roky operátor prevádzkoval aj verejný bug bounty program, dnes ponúka len privátny program testovania bezpečnosti (na pozvanie).
NOKIA – aj jeden z najznámejších výrobcov mobilných a telekomunikačných zariadení – fínska Nokia – má vlastný program na nahlasovanie bezpečnostných zraniteľností. Prispievateľov pritom uvádza na svojej stránke v sekcii Sieň slávy.
Telenet – belgický mobilný operátor Telenet ponúka vlastný bug bounty program s odmenami, ktoré závisia od typu nájdenej zraniteľnosti. Jeho detaily nájdete priamo na webe operátora.
Vodafone – holandská pobočka operátora Vodafone má taktiež program pre hľadanie bezpečnostných zraniteľností. Hoci v ňom v prípade nájdenia chyby v systéme nezískate finančnú odmenu, operátor vás odmení darčekom a poďakovaním.
Swiscomm – švajčiarska Telco & IT spoločnosť s viac ako 20 000 zamestnancami vedie vlastný bug bounty program. Výška odmien sa odvíja od typu objavenej zraniteľnosti.
Bezpečnostné firmy
Aj bezpečnostné firmy potrebujú testovanie bezpečnosti svojich vlastných systémov. Preto v Európe nájdeme viacero zaujímavých bug bounty programov firiem, ktoré v bežnej situácii testujú bezpečnosť iných firiem.
Hacktrophy – ani nám nie je ukradnutá naša online bezpečnosť. Za nájdenie zraniteľností v našej bug bounty platforme ponúkame finančné odmeny do výšky 700 EUR.
AVG – spoločnosť známa svojim antivírusovým riešením AVG testuje svoju bezpečnosť okrem iného aj pomocou verejného bug bounty programu s odmenami do výšky 1000 EUR.
Avast – hoci dnes české firmy Avast a AVG tvoria jednu spoločnosť, obe z (dcérskych) firiem ponúkajú vlastný bug bounty program. Ten od Avastu je navyše aj vcelku zaujímavý, pretože ponúka odmeny až do výšky $10,000.
Doprava
Online bezpečnosť sa dnes týka aj spoločností, ktoré sa zameriavajú na dopravu. Cez internet ponúkajú nielen predaj cestovných dokladov, ale aj rôzne iné produkty a služby zákazníkom. Mnohé ich systémy sú navyše závislé na online komunikácii, a tak je nutné zaručiť jej bezproblémový chod.
Lufthansa – nemecký dopravca Lufthansa ponúka okrem prepravy aj vlastný internetový obchod s rôznymi produktmi a službami pre zákazníkov. Jeho bezpečnosť sa rozhodol testovať pomocou bug bounty programu.
Brusel Airlines – plnohodnotný program na hľadanie bezpečnostných zraniteľností ponúkajú aj bruselské aerolinky. Na rozdiel od Lufthansy, v tomto prípade sa bug bounty program týka aj hlavnej webstránky prepravcu, ktorá ponúka aj predaj leteniek. Odmeny pre etických hackerov dosahujú hodnotu až 5000 EUR.
Automobilky
O bezpečnosti automobilových systémov sa vo veľkom začalo rozprávať najmä po hacknutí automobilov Jeep. Výrobcovia áut používajú čoraz pokročilejšie systémy, často ovládané aj cez internet. Takže niet divu, že aj v Európe už niektoré z nich začínajú testovať IT zabezpečenie cez verejný bug bounty program.
Fiat Chrysler Automobiles (FCA) – automobilka s centrálou v Spojenom kráľovstve má vlastný bug bounty program, v ktorom testuje nielen webové stránky a mobilné aplikácie, ale aj jednotlivé inteligentné súčiastky svojich automobilov.
Parlamenty a štátne organizácie
Európska komisia – o niečo menej tradičným je prvý bug bounty program Európskej komisie. Tá využíva najmä open source softvér, ktorého autori častokrát nemajú financie na pokročilejšie testovanie jeho bezpečnosti. Preto EK vytvorila vlastný bug bounty program, v ktorom testuje bezpečnosť open source riešení, ktoré využíva – napríklad multimediálny prehrávač VLC.
Holandské centrum pre kyber. bezpečnosť (NCSC) – aj holandská štátna správa testuje svoju bezpečnosť pomocou bug bounty programu. Odmeny za nájdenie zraniteľností sú rôzne – od trička po poukazy v hodnote 300 EUR za extrémne nebezpečnú chybu v systéme NCSC.
Ďalšie odvetvia
Zdravotníctvo: La Roche Ltd. – Známy výrobca liečiv a medicínskych pomôcok – La Roche, vedie taktiež bug bounty program. Jeho cieľom je otestovať bezpečnosť niekoľkých desiatok webstránok, ktoré výrobca prevádzkuje.
Online prezentácie: Prezi – systém spoločnosti Prezi na tvorbu interaktívnych prezentácií používajú najznámejšie spoločnosti a uznávané spoločnosti (napr. Harvard). Nakoľko ide o online službu, Prezi má aj vlastný bug bounty program.
Váš bug bounty program
Denne unikne na internet viac ako 5 miliónov citlivých záznamov. Veľkú časť z týchto únikov zapríčiňuje nedokonalé zabezpečenie vašej firemnej siete alebo zariadení. Bug bounty program predstavuje cenovo efektívnu a z časového hľadiska dlhodobo udržateľnú formu testovania bezpečnosti.
Vašu IT bezpečnosť musíte testovať aj podľa nového nariadenia GDPR, ktoré už čoskoro vstúpi do platnosti aj na Slovensku. Za nedodržanie jeho pravidiel vám hrozia vysoké finančné pokuty, nehovoriac o financiách potrebných na nápravu škôd po úspešnom hackerskom útoku.
Založte si svoj vlastný bug bounty program aj vy a zvýšte svoju bezpečnosť pomocou hľadania bezpečnostných zraniteľností etickými hackermi.