Enbart en hacker kan verkligen förstå hur en hacker tänker. Därför, när målet är att uppnå ”hackersäkerhet”, kan det vara klokt att ta hjälp av just en hacker.
Säkerhet inom applikationsutveckling har ständigt varit ett aktuellt ämne, och dess betydelse har ökat med tiden.
Trots en mängd defensiva metoder och verktyg (brandväggar, SSL-kryptering, asymmetrisk kryptografi med mera), kan ingen webbaserad applikation garantera fullständig immunitet mot intrångsförsök.
Varför är det så?
Den enkla förklaringen är att programvaruutveckling fortfarande är en komplex och sårbar process. Det finns ständigt fel och brister (kända och okända) i den grundläggande koden utvecklare använder, och nya problem uppstår i takt med att ny programvara och bibliotek lanseras. Inte ens de största teknikföretagen är befriade från incidenter, och det finns goda skäl till det.
Nu anställs. . . Hackare!
Med tanke på att buggar och säkerhetsbrister troligtvis alltid kommer att vara en del av programvaruvärlden, hur kan företag som är beroende av denna mjukvara skydda sig? Hur kan exempelvis en ny plånboksapp garantera sin motståndskraft mot attacker?
Svaret är enkelt: genom att anlita hackare för att testa appen! Och varför skulle de ställa upp på det? Jo, för att det finns en betydande belöning: en ”bug bounty”! 🙂
Konceptet ”bounty” kanske väcker associationer till vilda västern med belöningar för ”efterlysta”. Precis så fungerar tanken här. Genom belöningar motiveras de mest erfarna och kompetenta hackarna (säkerhetsexperterna) att testa applikationerna. Om de hittar några brister får de betalt.
Det finns huvudsakligen två sätt att hantera detta: 1) organisera en egen bug bounty-tävling; 2) använda en befintlig bug bounty-plattform.
Bug Bounty: Egenhantering kontra plattformar
Varför besvära sig med att välja (och betala för) en bug bounty-plattform när man enkelt kan hantera processen själv? Det borde väl vara tillräckligt att skapa en sida med all information och sprida budskapet via sociala medier, eller hur?
Hackare är inte övertygade!
Det kan låta som en bra idé, men betrakta saken från en hackers perspektiv. Att jaga buggar är ingen enkel uppgift. Det kräver år av träning, gedigen kunskap om både gamla och nya system, en stor dos beslutsamhet och mer kreativitet än många ”visuella designers” (förlåt, kunde inte låta bli! :-P).
Hackaren känner inte till dig eller om du faktiskt kommer att betala. Eller så kanske de inte är tillräckligt motiverade. Egenhanterade bounties fungerar för jättar som Google, Apple och Facebook, vars namn är en merit i sig. ”Hittade en kritisk inloggningssårbarhet i HRMS-appen från XYZ Tech Systems” låter inte lika imponerande, eller hur (med reservation för alla företag som kanske identifierar sig med det namnet!).
Dessutom finns det andra praktiska (och överväldigande) skäl att inte gå solo med bug bounty-program.
Brist på infrastruktur
De ”hackare” vi talar om här är inte de som rör sig på Dark Web.
De har varken tid eller tålamod för vår ”civiliserade” värld. Istället talar vi om datasäkerhetsexperter som antingen är verksamma på universitet eller har arbetat med säkerhetsforskning under lång tid. Dessa personer vill ha och leverera information enligt ett standardiserat format, vilket kan vara en utmaning i sig.
Även era bästa utvecklare kan få svårt att hänga med, och kostnaden för ett sådant arbete kan bli orimligt hög.
Hantering av inlämningar
Slutligen är det frågan om bevis. Mjukvara följer logiska regler, men exakt när ett visst krav är uppfyllt kan vara en tolkningsfråga. Låt oss ta ett exempel för att illustrera det.
Anta att ni har organiserat en bug bounty-tävling för autentiserings- och auktoriseringsfel, där ni menar att ert system är skyddat mot identitetsstöld och hackare ska försöka motbevisa det.
Hackaren har hittat en svaghet i hur en viss webbläsare fungerar, vilket gör att de kan stjäla en användares sessions-token och utge sig för att vara dem.
Är detta ett giltigt fynd?
Från en hackers perspektiv är ett intrång absolut ett brott. Från ditt perspektiv kanske inte, antingen för att du anser att det faller under användarens ansvar eller för att webbläsaren inte är ett problem för din målgrupp.
Om all denna diskussion hade skett på en bug bounty-plattform, hade det funnits kompetenta medlare som kunnat bedöma effekterna av upptäckten och lösa tvisten.
Med det sagt, låt oss titta närmare på några populära bug bounty-plattformar som finns tillgängliga.
YesWeHack
YesWeHack är en global bug bounty-plattform som erbjuder tjänster för att upptäcka sårbarheter och crowdsourcad säkerhet i flera länder som Frankrike, Tyskland, Schweiz och Singapore. De tillhandahåller en innovativ bug bounty-lösning som hanterar de växande säkerhetshoten som uppstår i takt med att företagen blir allt mer flexibla, något som traditionella verktyg inte längre räcker till för.
YesWeHack ger dig tillgång till en stor pool av etiska hackare, vilket maximerar testmöjligheterna. Välj de experter du vill ha, skicka in de områden som ska testas eller dela dem med YesWeHack-communityt. De följer strikta regler och standarder för att skydda både hackarnas och dina intressen.
Öka säkerheten i dina appar genom att dra nytta av hackarnas expertis och snabba på processen för upptäckt och åtgärdande av sårbarheter. Resultaten blir tydliga när du sätter igång programmet.
Open Bug Bounty
Betalar du för mycket för dina bug bounty-program?
Prova Open Bug Bounty för publiksäkerhetstester.
Detta är en community-driven, öppen, kostnadsfri och oberoende bug bounty-plattform. De erbjuder dessutom en ansvarsfull och samordnad metod för sårbarhetsavslöjande som uppfyller ISO 29147. Hittills har de bidragit till att åtgärda över 641 000 sårbarheter.
Säkerhetsforskare och experter från ledande sajter som WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips och Yamaha, har använt Open Bug Bounty-plattformen för att lösa säkerhetsproblem som XSS-sårbarheter, SQL-injektioner och liknande. Du kan hitta mycket kunniga och engagerade experter för att snabbt få ditt arbete gjort.
Hackerone
Bland bug bounty-programmen är Hackerone en ledare när det gäller att anlita hackare, skapa egna bounty-program, sprida information och bedöma bidragen.
Hackerone kan användas på två sätt: antingen genom att själv hantera insamlingen av sårbarhetsrapporter och analysera dem, eller genom att låta experterna på Hackerone göra det jobbiga (triagering). Triagering är processen att samla in sårbarhetsrapporter, verifiera dem och kommunicera med hackare.
Hackerone används av stora företag som Google Play, PayPal, GitHub och Starbucks, vilket indikerar att plattformen är lämplig för företag som har allvarliga säkerhetsbrister och kan investera betydande resurser. 😉
Bugcrowd
Bugcrowd erbjuder flera säkerhetsbedömningslösningar, varav bug bounty är en. De tillhandahåller en SaaS-lösning som enkelt integreras i din befintliga mjukvaruutvecklingscykel, vilket gör det smidigt att genomföra ett framgångsrikt bug bounty-program.
Du kan välja att ha ett privat bug bounty-program som involverar ett utvalt antal hackare eller ett offentligt program som involverar tusentals experter.
SafeHats
Om du är ett företag som inte är bekvämt med att offentliggöra ditt bug bounty-program, men som samtidigt behöver mer uppmärksamhet än vad en typisk bug bounty-plattform kan erbjuda, är SafeHats ditt säkraste alternativ (dålig ordvits, eller hur?).
Dedikerade säkerhetsrådgivare, detaljerade hackerprofiler och exklusivt deltagande via inbjudningar är några av tjänsterna som erbjuds, anpassade efter dina behov och mognaden i din säkerhetsmodell.
Intigriti
Intigriti är en omfattande bug bounty-plattform som sammanför dig med white hat-hackare, oavsett om du vill genomföra ett privat eller offentligt program.
För hackare finns det gott om belöningar att vinna. Beroende på företagets storlek och bransch kan belöningarna variera från €1000 till €20 000.
Synack
Synack verkar vara ett av de företag som lyckas bryta mönster och göra något storslaget. Deras säkerhetsprogram Hacka Pentagon var en stor framgång som ledde till att flera kritiska sårbarheter upptäcktes.
Om du inte bara letar efter felsökning utan även högkvalitativ säkerhetsvägledning och utbildning, är Synack ett utmärkt alternativ.
Slutsats
Precis som man bör vara skeptisk till ”mirakelkurer” bör man vara försiktig med alla webbplatser eller tjänster som påstår att det är möjligt att uppnå total säkerhet. Det vi kan göra är att försöka komma så nära idealet som möjligt. Bug bounty-program bör därför inte förväntas eliminera alla fel, utan snarare betraktas som en viktig strategi för att identifiera och åtgärda de allvarligaste bristerna.
Kolla in den här buggprisjaktskurs för att lära dig mer och få berömmelse, belöningar och erkännande.
Läs mer om världens största bug bounty-program.
Jag hoppas att du får chansen att knäcka många av dem! 🙂