Tylko haker może myśleć jak haker. Tak więc, jeśli chodzi o „odporność na hakerów”, może być konieczne zwrócenie się do hakera.
Bezpieczeństwo aplikacji zawsze było gorącym tematem, który z czasem stawał się coraz gorętszy.
Nawet mając do dyspozycji hordę narzędzi obronnych i praktyki (zapory ogniowe, SSL, kryptografia asymetryczna itp.), żadna aplikacja internetowa nie może twierdzić, że jest bezpieczna poza zasięgiem hakerów.
Dlaczego?
Prosty powód jest taki, że budowanie oprogramowania pozostaje bardzo złożonym i kruchym procesem. Nadal istnieją błędy (znane i nieznane) wewnątrz fundacji, z której korzystają programiści, a wraz z uruchomieniem nowego oprogramowania i bibliotek powstają nowe. Nawet czołowe firmy technologiczne są gotowe na sporadyczne kłopoty i nie bez powodu.
Spis treści:
Zatrudniamy . . . Hakerzy!
Biorąc pod uwagę, że błędy i luki w zabezpieczeniach prawdopodobnie nigdy nie opuszczą sfery oprogramowania, co sprawia, że firmy są zależne od tego oprogramowania, aby przetrwać? Jak, na przykład, nowa aplikacja portfela może mieć pewność, że sprosta nieprzyjemnym próbom hakerów?
Tak, już to zgadłeś: zatrudniając hakerów, aby przyszli i spróbowali tej nowo powstałej aplikacji! A dlaczego mieliby? Tylko dlatego, że w ofercie jest wystarczająco duża nagroda — nagroda za błąd!
Jeśli słowo „bounty” przywołuje wspomnienia Dzikiego Zachodu i kul wystrzeliwanych bez opamiętania, to właśnie taki jest tutaj pomysł. W jakiś sposób dostajesz najbardziej elitarnych i doświadczonych hakerów (ekspertów ds. bezpieczeństwa), aby zbadali Twoją aplikację, a jeśli coś znajdą, zostaną nagrodzeni.
Można to zrobić na dwa sposoby: 1) samodzielnie zorganizować nagrodę za błąd; 2) za pomocą platformy bug bounty.
Bug Bounty: Self-hosting vs. platformy
Po co miałbyś kłopotać się wyborem (i płaceniem) platformy bug bounty, skoro możesz ją po prostu hostować samodzielnie. Chodzi mi o to, że po prostu stwórz stronę z odpowiednimi szczegółami i zrób trochę hałasu w mediach społecznościowych. To oczywiście nie może zawieść, prawda?
Haker nie jest przekonany!
Cóż, to fajny pomysł, ale spójrz na to z perspektywy hakera. Walka o robaki nie jest łatwym zadaniem, ponieważ wymaga kilku lat szkolenia, praktycznie nieograniczonej wiedzy o rzeczach starych i nowych, mnóstwa determinacji i większej kreatywności niż większość „projektantów wizualnych” (przepraszam, nie mogłem się temu oprzeć! :-P).
Haker nie wie, kim jesteś lub nie jest pewien, czy zapłacisz. A może nie ma motywacji. Zlecenia na własnym hoście działają dla molochów, takich jak Google, Apple, Facebook itp., których nazwiska ludzie mogą z dumą umieszczać w swoich portfolio. „Znaleziono krytyczną lukę w logowaniu w aplikacji HRMS opracowanej przez XYZ Tech Systems” nie brzmi teraz imponująco, prawda (z przeprosinami dla każdej firmy, która może przypominać tę nazwę!)?
Są też inne praktyczne (i przytłaczające powody), by nie iść solo, jeśli chodzi o bug bounty.
Brak infrastruktury
„Hakerzy”, o których mówiliśmy, nie są tymi, którzy śledzą ciemną sieć.
Ci nie mają czasu ani cierpliwości dla naszego „cywilizowanego” świata. Zamiast tego mówimy tutaj o naukowcach wywodzących się z informatyki, którzy są albo na uniwersytecie, albo od dawna są łowcami nagród. Ci ludzie chcą i przesyłają informacje w określonym formacie, do czego trudno się przyzwyczaić.
Nawet najlepsi programiści będą mieli trudności z dotrzymaniem kroku, a koszt alternatywny może okazać się zbyt wysoki.
Rozpatrywanie zgłoszeń
Wreszcie jest kwestia dowodu. Oprogramowanie może być zbudowane na w pełni deterministycznych regułach, ale kiedy dokładnie spełnione jest określone wymaganie, jest przedmiotem dyskusji. Weźmy przykład, aby lepiej to zrozumieć.
Załóżmy, że utworzyłeś nagrodę za błąd za błędy uwierzytelniania i autoryzacji. Oznacza to, że twierdzisz, że Twój system jest wolny od ryzyka podszywania się, które hakerzy muszą obalić.
Teraz haker znalazł słabość opartą na tym, jak działa konkretna przeglądarka, co pozwala mu ukraść token sesji użytkownika i podszywać się pod niego.
Czy to słuszne odkrycie?
Z perspektywy hakera z pewnością wyłom to wyłom. Z Twojej perspektywy może nie, bo albo uważasz, że leży to w gestii użytkownika, albo że przeglądarka po prostu nie jest problemem dla Twojego rynku docelowego.
Gdyby cały ten dramat rozgrywał się na platformie bug bounty, byliby zdolni arbitrzy, którzy mogliby zdecydować o skutkach odkrycia i zamknąć problem.
Mając to na uwadze, spójrzmy na niektóre z popularnych platform bug bounty.
TakWeHack
TakWeHack to globalna platforma bug bounty, która oferuje ujawnianie luk w zabezpieczeniach i zabezpieczenia crowdsourcingowe w wielu krajach, takich jak Francja, Niemcy, Szwajcaria i Singapur. Zapewnia destrukcyjne rozwiązanie Bug Bounty, które pozwala stawić czoła rosnącym zagrożeniom wraz ze wzrostem elastyczności biznesowej, w której tradycyjne narzędzia nie spełniają już oczekiwań.
YesWeHack umożliwia dostęp do wirtualnej puli hakerów etycznych i maksymalizację możliwości testowania. Wybierz myśliwych, których chcesz i prześlij lunety do przetestowania lub udostępnij je społeczności YesWeHack. Przestrzega surowych przepisów i norm, aby chronić interesy myśliwych, a także twoje.
Popraw bezpieczeństwo swojej aplikacji, wykorzystując szybkość reakcji huntera i zminimalizuj czas potrzebny na naprawę i wykrycie luk w zabezpieczeniach. Różnica będzie widoczna po uruchomieniu programu.
Otwórz zlecenie na błąd
Czy przepłacasz za programy bug bounty?
Próbować Otwórz zlecenie na błąd do testowania bezpieczeństwa tłumu.
Jest to otwarta, bezpłatna i niezainteresowana platforma bug bounty oparta na społeczności. Ponadto oferuje odpowiedzialne i skoordynowane ujawnianie luk w zabezpieczeniach zgodne z normą ISO 29147. Do tej pory pomogło naprawić ponad 641 tys. luk.
Badacze bezpieczeństwa i specjaliści z wiodących witryn, takich jak WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha i innych, wykorzystali platformę Open Bug Bounty do rozwiązania swoich problemów związanych z bezpieczeństwem, takich jak luki w zabezpieczeniach XSS, wstrzyknięcia SQL itp. Możesz znaleźć wysoce kompetentnych i reagujących specjalistów, którzy szybko wykonają swoją pracę.
Hakeron
Wśród programów bug bounty, Hakeron jest liderem, jeśli chodzi o dostęp do hakerów, tworzenie programów nagród, rozpowszechnianie informacji i ocenę wkładu.
Istnieją dwa sposoby wykorzystania Hackerone: użyj platformy do zbierania raportów o podatnościach i samodzielnego ich opracowania lub pozwól ekspertom z Hackerone wykonać ciężką pracę (triaging). Triaging to po prostu proces kompilowania raportów o podatnościach, weryfikowania ich i komunikowania się z hakerami.
Hackerone jest używany przez wielkie nazwiska, takie jak Google Play, PayPal, GitHub, Starbucks i tym podobne, więc oczywiście jest to dla tych, którzy mają poważne błędy i poważne kieszenie.
Tłum robali
Tłum robali oferuje kilka rozwiązań do oceny bezpieczeństwa, jednym z nich jest Bug Bounty. Zapewnia rozwiązanie SaaS, które łatwo integruje się z istniejącym cyklem życia oprogramowania i sprawia, że uruchomienie udanego programu bug bounty jest bardzo proste.
Możesz zdecydować się na prywatny program bug bounty, w którym bierze udział kilku wybranych hakerów lub publiczny, który gromadzi tysiące osób.
Bezpieczne nakrycia głowy
Jeśli jesteś przedsiębiorstwem i nie czujesz się komfortowo, upubliczniając swój program bug bounty — a jednocześnie potrzebujesz więcej uwagi, niż może zaoferować typowa platforma bug bounty — Bezpieczne nakrycia głowy to twój najbezpieczniejszy zakład (okropny kalambur, co?).
Dedykowany doradca ds. bezpieczeństwa, szczegółowe profile hakerów, uczestnictwo tylko na zaproszenie — wszystko to zapewniamy w zależności od Twoich potrzeb i dojrzałości modelu zabezpieczeń.
Intigriti
Intigriti to kompleksowa platforma bug bounty, która łączy Cię z hakerami w białych kapeluszach, niezależnie od tego, czy chcesz uruchomić program prywatny, czy publiczny.
Dla hakerów jest mnóstwo nagrody chwycić. W zależności od wielkości firmy i branży, dostępne są polowania na robaki o wartości od 1000 do 20 000 euro.
Synack
Synack wydaje się być jednym z tych wyjątków na rynku, które przełamują schemat i robią coś ogromnego. Ich program bezpieczeństwa Zhakuj Pentagon była główną atrakcją, prowadzącą do odkrycia kilku krytycznych luk w zabezpieczeniach.
Więc jeśli szukasz nie tylko wykrywania błędów, ale także wskazówek dotyczących bezpieczeństwa i szkolenia na najwyższym poziomie, Synack jest droga do zrobienia.
Wniosek
Tak jak trzymasz się z daleka od uzdrowicieli, którzy głoszą „cudowne lekarstwa”, trzymaj się z dala od jakiejkolwiek strony internetowej lub usługi, która mówi, że możliwe jest kuloodporne zabezpieczenie. Wszystko, co możemy zrobić, to zbliżyć się o krok do ideału. W związku z tym nie należy oczekiwać, że programy bug bounty będą generować aplikacje bez błędów, ale powinny być postrzegane jako podstawowa strategia usuwania tych naprawdę nieprzyjemnych.
Sprawdź to kurs polowania na robaki uczyć się i zdobywać sławę, nagrody i uznanie.
Dowiedz się o największych programach bug bounty na świecie.
Mam nadzieję, że zlikwidujesz wiele z nich!