Predstavte si, že na vašom webe niekto nájde zraniteľnosť, ktorú by vám rád nahlásil. Nevie však, kde by tak mohol učiniť, komu môže zraniteľnosť nahlásiť a ako to spraviť tak, aby nebol obvinený z nelegálneho hackovania. To všetko by mali vysvetľovať VDP – základné podmienky zverejňovania zraniteľností.
Čo je VDP?
Skratka VDP reprezentuje Vulnerability Disclosure Policy, v preklade Zásady zverejňovania zraniteľností (ďalej len „VDP“). Ide o základný bezpečnostný dokument, ktorý slúži ako návod pre ľudí, ktorí na vašom webe nájdu bezpečnostnú „dieru“ (prípadne aj funkčný bug) a chcú vám ju nahlásiť. Explicitne vysvetľuje, ako vám môže niekto nahlásiť chybu na vašom webe bezpečným spôsobom pre obe strany.
VDP nepojednávajú len o spôsobe nahlásenia nájdených zraniteľností, ale aj o spôsobe ich zverejnenia. Mali by obsahovať presný postup životného cyklu zraniteľnosti, od jej nájdenia, cez opravu, kontrolu jej opravy, až po zverejnenie správy o jej odstránení.
Prečo je VDP dôležité?
Každá webstránka obsahuje nielen funkčné bugy, ale aj bezpečnostné chyby. Existuje 86 % šanca, že váš web obsahuje kritickú zraniteľnosť, cez ktorú vás môžu napadnúť black-hat hackeri. Vašu bezpečnosť však v reálnom čase neskúmajú len roboty a neprajníci, ale aj etickí hackeri a skúsení klienti, ktorí vám chcú pomôcť alebo chybu objavia náhodou. Práve preto by ste na svojej webstránke mali mať zverejnené VDP, ktorý im napovie, ako majú v takomto prípade postupovať. Vulnerability Disclosure Policy je dokonca aj súčasťou štandardu ISO/IEC 29147:2014.
V prípade, že vaša webstránka neobsahuje VDP, môže sa poľahky stať, že hocikto, kto objaví bezpečnostnú zraniteľnosť, ju odignoruje, lebo nebude vedieť, kde a komu ju môže bezpečne nahlásiť. Za nahlásené zraniteľnosti pritom nemusíte vyplácať finančné odmeny ako v prípade bug bounty programov. Motivácia menšími odmenami, milými darčekmi či zverejnením mena objaviteľa na vašom webe však môže ľudí motivovať k ich nahlasovaniu.
Zaujímavé fakty:
- len 2 z 24 svetových aerolínií má VDP (United Airlines a Lufthansa),
- 54 % softvérových/programátorských firiem má VDP,
- len 3 z 21 automobiliek disponuje vypracovanými VDP,
- iba 6 zo 64 medzinárodných bánk disponuje VDP,
- Starbucks ponúka ako jediná medzinárodná sieť reštaurácií VDP.
Zdroj: CyberSecurityVentures
Príklad umiestnenia VDP v pätičke webu Wordfence
Čo by malo obsahovať VDP?
Zásady zverejňovania zraniteľností by mali byť vo forme dokumentu voľne dostupné na viditeľnom mieste na vašom webe. Môžete ich umiestniť do pätičky webu, do sekcie Kontakty alebo pokojne aj do zdrojového kódu stránky – tam ho nájdu len tí najpovolanejší ?. Pri ich písaní myslite na to, že zraniteľnosť vášho webu môže objaviť aj bežný človek. Vyvarujte sa preto príliš odbornej terminológii a vsaďte na jednoduchosť. Nezabudnite pritom na tieto body:
Váš prístup a postup opravy
Ubezpečte vašich klientov, že ich bezpečnosť vám nie je ukradnutá a vážite si, že vám nahlásili zraniteľnosť vašej webstránky alebo služby. Opíšte, ako s touto informáciou naložíte a aký postup zvolíte pri jej oprave. Jasne definujte, ako do procesu opravy chcete zapojiť nahlasovateľa chyby.
Rozsah záujmu
V podmienkach VDP jasne špecifikujte, o nahlásenie akých bezpečnostných zraniteľností máte záujem. Uveďte webstránky či systémy, ktoré prevádzkujete a vymedzte sa voči chybám v klientských serveroch, ktoré napríklad využívajú vašu technológiu alebo sú vašimi partnermi.
Možnosť bezpečnej komunikácie
Pri nahlasovaní bezpečnostnej zraniteľnosti nechcete, aby sa niekto o chybe dozvedel skôr ako vy. VDP by preto mali obsahovať popis bezpečného spôsobu nahlasovania chýb. Ideálnym prípadom je aj zobrazenie verejného kľúča, ktorý je potrebný na šifrovanú e-mailovú komunikáciu. Vhodným je aj online formulár, pomocou ktorého je priamo možné nahlásiť zraniteľnosť. Moderné spoločnosti môžu pripojiť aj kontakt na zabezpečené komunikátory Signal, Threema alebo Telegram.
Právne zásady nahlasovania
Mali by opisovať spôsob, akým majú byť objavené zraniteľnosti nahlásené v medziach zákona. Používateľov upozornite na možné riziko žaloby alebo súdneho sporu v prípade, že informácie o zraniteľnosti využijú na poškodenie vašej spoločnosti a jej dobrého mena.
Dohoda o mlčanlivosti
Ak pracuje váš web alebo systém s citlivými údajmi, ktorých zverejnením by ste mohli byť v ohrození vy, vaši zamestnanci alebo vaši klienti, do VDP umiestnite aj informáciu o dobe mlčanlivosti. Tá špecifikuje, kedy môže o chybe začať verejne rozprávať jej objaviteľ. Google napríklad využíva 90-dňovú lehotu, ktorá pre neho znamená čas na opravu zraniteľnosti. V niektorých prípadoch je ale lepšie povoliť zverejnenie informácií až po potvrdení opravy danej chyby.
Popis hlásenia
VDP by mali obsahovať aj popis detailov, ktoré sa týkajú zraniteľností. Dajte používateľom vedieť, čo je pre vás v hlásení dôležité. Správne vyplnené hlásenie o chybe vo vašom webe vám uľahčí jej lokalizovanie a následnú opravu.
Ponúkané odmeny
Ste ochotní motivovať ľudí k nahlasovaniu chýb aj vecnými odmenami alebo zverejnením ich mena na vašom webe? Jasne špecifikujte, ako sa im odmeníte, ak vo vašom systéme objavia chybu a nahlásia vám ju.
Prečítajte si, čo by mali obsahovať VDP podľa OWASP na stránke Vulnerability Disclosure Cheat Sheet.
Aký je rozdiel medzi VDP a bug bounty programom?
Spoločnosti, ktoré na svojom webe zverejňujú VDP, sa spoliehajú na dobrovoľné nahlásenie bezpečnostných zraniteľností. Medzi klientmi musia mať dobré meno a musia s nimi udržiavať pozitívny vzťah, inak by objavené zraniteľnosti mohli zneužiť. Všeobecne platí, že ak niečo dáte svojej komunite, ona vám to vráti. Výhodou je aj to, že v prípade VDP nie je nutné vypisovať za nájdené zraniteľnosti žiadne odmeny.
Takýto prístup má ale aj svoju nevýhodu. Je vysoko pravdepodobné, že firma týmto spôsobom nebude mať nikdy nahlásenú kritickú alebo “náročnejšiu” zraniteľnosť. Na ich objavenie je totižto potrebné mať isté skúsenosti a čas, ktoré do vás bez finančnej odmeny žiadny odborník neinvestuje.
Na druhej strane, bug bounty programy ponúkajú nahlasovateľom možnosť zarobiť na tom, že vo vašom systéme objavia zraniteľnosť. Výhodou je, že o úroveň vášho zabezpečenia sa zaujímajú aj ľudia, ktorí s vašou firmou nemusia mať nič spoločné. Ide o pragmatický vzťah založený na finančnej odmene. Z praxe ale vieme, že ak etickí hackeri vidia, že vám záleží na bezpečnosti, radi vám nahlásia aj zraniteľnosť, za ktorú nemáte vypísanú odmenu. Len tak, za poďakovanie.
Príklady VDP známych medzinárodných spoločností:
To, ako sa postavíte k testovaniu vašej online bezpečnosti, záleží od vášho prístupu a rozpočtu. Ak vám na bezpečnosti vašich systémov nezáleží alebo máte na zabezpečenie len malý budget, dajte si aspoň tú námahu, že na svoj web umiestnite VDP. Ak vám ale na bezpečnosti vás, vašich zamestnancov a najmä vašich klientov záleží, vytvorte si vlastný bug bounty projekt. Financie, ktoré naň vynaložíte, vám ušetria množstvo nákladov a v konečnom dôsledku získate vyladenejší a bezpečnejší web alebo aplikáciu.
