Тільки хакер може мислити як хакер. Отже, коли справа доходить до того, щоб стати «захищеним від хакерів», вам може знадобитися звернутися до хакера.
Безпека додатків завжди була актуальною темою, яка з часом лише набирала обертів.
Навіть маючи в своєму розпорядженні цілий ряд захисних інструментів і практики (брандмауери, SSL, асиметрична криптографія тощо), жодна веб-програма не може стверджувати, що вона безпечна поза межами досяжності хакерів.
Чому так?
Проста причина полягає в тому, що створення програмного забезпечення залишається дуже складним і крихким процесом. Існують помилки (відомі та невідомі), які використовують розробники, і з’являються нові з запуском нового програмного забезпечення та бібліотек. Навіть технологічні компанії вищого рівня готові час від часу соромитися, і для цього є вагома причина.
Зараз наймають. . . Хакери!
Враховуючи, що помилки та вразливості, ймовірно, ніколи не покинуть сферу програмного забезпечення, де виживають підприємства, які залежать від цього програмного забезпечення? Як, наприклад, новий додаток-гаманець може бути впевненим, що він протистоятиме неприємним спробам хакерів?
Так, ви вже здогадалися: найняти хакерів, щоб вони зламали цю новоспечену програму! І навіщо їм? Просто тому, що пропонується досить велика винагорода — винагорода за помилок! 🙂
Якщо слово «баунті» викликає спогади про Дикий Захід і кулі, які стріляють без упину, то саме в цьому полягає ідея. Ви якимось чином залучаєте найбільш елітних і обізнаних хакерів (експертів з безпеки), щоб перевірити вашу програму, і якщо вони щось знайдуть, то отримають винагороду.
Є два способи зробити це: 1) самостійно організувати баунті; 2) використання платформи баунті.
Винагорода за помилку: власне розміщення проти платформ
Навіщо вам вибирати (і оплачувати) платформу винагород за помилки, якщо ви можете просто розмістити її самостійно. Я маю на увазі, просто створіть сторінку з відповідними деталями та зробіть трохи шуму в соціальних мережах. Очевидно, він не може зазнати невдачі, чи не так?
Хакера не переконали!
Ну, це гарна ідея, але подивіться на це з точки зору хакера. Боротьба з помилками — завдання не з легких, оскільки воно потребує кількох років навчання, практично необмежених знань про старі та нові речі, маси рішучості та більшої креативності, ніж у більшості «візуальних дизайнерів» (вибачте, я не втримався перед цим! :-P).
Хакер не знає, хто ви, або не впевнений, що ви заплатите. А може, не мотивований. Баунті, що розміщуються самостійно, працюють для великих компаній, таких як Google, Apple, Facebook тощо, чиї імена люди можуть із гордістю помістити у своє портфоліо. «Знайдено критичну вразливість для входу в програму HRMS, розроблену XYZ Tech Systems», звучить не вражаюче, чи не так (приносимо вибачення будь-якій компанії, яка може нагадувати цю назву!)?
Крім того, є інші практичні (і вагомі причини) не йти самостійно, коли справа доходить до винагороди за помилки.
Відсутність інфраструктури
«Хакери», про яких ми говорили, не є тими, хто переслідує Dark Web.
У них немає ні часу, ні терпіння на наш «цивілізований» світ. Натомість ми говоримо тут про дослідників з комп’ютерними науками, які або навчаються в університеті, або тривалий час є мисливцями за головами. Ці люди хочуть і подають інформацію в певному форматі, до якого важко звикнути.
Навіть вашим найкращим розробникам буде важко встигати, а альтернативна вартість може виявитися надто високою.
Вирішення повідомлень
Нарешті, є питання доказів. Програмне забезпечення може бути побудовано на повністю детермінованих правилах, але коли саме виконується конкретна вимога, залишається предметом дебатів. Давайте візьмемо приклад, щоб краще це зрозуміти.
Припустімо, ви створили винагороду за помилки автентифікації та авторизації. Тобто ви стверджуєте, що ваша система вільна від ризиків видавання себе за іншу особу, які хакери мають підірвати.
Тепер хакер знайшов слабке місце, засноване на тому, як працює певний браузер, що дозволяє йому викрасти маркер сеансу користувача та видати себе за нього.
Це дійсний висновок?
З точки зору хакера, однозначно, злам є злом. З вашої точки зору, можливо, ні, тому що або ви вважаєте, що це входить до сфери відповідальності користувача, або цей браузер просто не стосується вашого цільового ринку.
Якби вся ця драма відбувалася на платформі винагород за помилки, були б спроможні арбітри, які б вирішили вплив відкриття та закрили проблему.
З огляду на це, давайте розглянемо деякі популярні платформи винагород за помилки.
YesWeHack
YesWeHack це глобальна платформа винагород за помилки, яка пропонує розкриття вразливостей і краудсорсинговий захист у багатьох країнах, таких як Франція, Німеччина, Швейцарія та Сінгапур. Він надає революційне рішення Bug Bounty для боротьби зі загрозами, що зростають із зростанням гнучкості бізнесу, коли традиційні інструменти більше не відповідають очікуванням.
YesWeHack дає вам доступ до віртуального пулу етичних хакерів і максимізує можливості тестування. Виберіть потрібних мисливців і надішліть приціли для тестування або поділіться ними зі спільнотою YesWeHack. Він дотримується деяких суворих правил і стандартів, щоб захистити інтереси мисливців, а також ваші.
Покращте безпеку свого додатка, використовуючи швидкість реагування Hunter і мінімізуйте час на виправлення та виявлення вразливостей. Ви зможете побачити різницю, коли запустите програму.
Відкрийте Bug Bounty
Чи переплачуєте ви за програми баунті?
Спробуй Відкрийте Bug Bounty для тестування безпеки натовпу.
Це відкрита, безкоштовна платформа винагород за помилки, керована спільнотою. Крім того, він пропонує відповідальне та скоординоване розкриття вразливостей, сумісне з ISO 29147. На сьогодні це допомогло виправити понад 641 тис. вразливостей.
Дослідники та професіонали з питань безпеки з провідних сайтів, таких як WikiHow, Twitter, Verizon, IKEA, MIT, Університет Берклі, Philips, Yamaha та інших, використовували платформу Open Bug Bounty для вирішення проблем безпеки, таких як уразливості XSS, впровадження SQL тощо. Ви можете знайти висококваліфікованих і чуйних професіоналів, які швидко виконають вашу роботу.
Hackerone
Серед програм винагороди за помилки Hackerone є лідером, коли йдеться про доступ до хакерів, створення ваших програм винагороди, поширення інформації та оцінку внесків.
Ви можете використовувати Hackerone двома способами: використовувати платформу для збору звітів про вразливості та опрацьовувати їх самостійно або дозволити експертам Hackerone виконувати важку роботу (сортування). Просто сортування — це процес складання звітів про вразливості, їх перевірки та спілкування з хакерами.
Hackerone використовують такі відомі компанії, як Google Play, PayPal, GitHub, Starbucks тощо, тож, звичайно, він для тих, хто має серйозні помилки та серйозні кишені. 😉
Bugcrowd
Bugcrowd пропонує кілька рішень для оцінки безпеки, одним із яких є Bug Bounty. Це рішення SaaS, яке легко інтегрується в існуючий життєвий цикл програмного забезпечення та дозволяє легко запустити успішну програму винагороди за помилки.
Ви можете вибрати приватну програму винагороди за помилки, яка залучає кілька вибраних хакерів, або публічну програму, яка краудсорсингує до тисяч.
SafeHats
Якщо ви є підприємством і не відчуваєте себе комфортно оприлюднювати свою програму винагород за помилки — і водночас потребуєте більше уваги, ніж може запропонувати типова платформа винагород за помилки — SafeHats це ваш найбезпечніший вибір (жахливий каламбур, га?).
Спеціальний консультант із безпеки, докладні профілі хакерів, участь лише за запрошенням — усе це надається залежно від ваших потреб і рівня зрілості вашої моделі безпеки.
Інтігріті
Інтігріті — це всеосяжна платформа винагород за помилки, яка з’єднує вас із білими хакерами, незалежно від того, чи хочете ви запустити приватну програму чи публічну.
Для хакерів їх багато щедроти щоб захопити. Залежно від розміру компанії та галузі доступні пошуки помилок від 1000 до 20 000 євро.
Синак
Synack, здається, є одним із тих ринкових винятків, які ламають шаблон і в кінцевому підсумку роблять щось масштабне. Їх програма безпеки Зламати Пентагон була головною подією, яка призвела до виявлення кількох критичних уразливостей.
Отже, якщо ви шукаєте не лише виявлення помилок, але й інструкції з безпеки та навчання на найвищому рівні, Синак це шлях.
Висновок
Так само, як ви тримаєтеся подалі від цілителів, які проголошують «чудодійні ліки», будь ласка, тримайтеся подалі від будь-якого веб-сайту чи служби, які стверджують, що куленепробивна безпека можлива. Все, що ми можемо зробити, це на крок наблизитися до ідеалу. Таким чином, від програм винагороди за помилки не слід очікувати створення програм без помилок, але їх слід розглядати як важливу стратегію для відсіювання справді неприємних.
Подивіться це курс полювання на помилок вчитися та здобувати славу, нагороди та оцінку.
Дізнайтеся про найбільші у світі програми винагород за помилок.
Сподіваюся, ви роздавите багато з них! 🙂