Örömmel jelentjük be nektek, hogy elindítottuk a HACKTIFY blogot. Igyekszünk rendszeresen az IT biztonsággal kapcsolatos híreket, újdonságokat megosztani veletek. Az első blogunkban az egyik fő szolgáltatásunkról – a Bug Bountyról – írunk.

Háttértörténet

A legtöbb cég megtalálható az interneten, sőt a mai világban az adatvezérelt cégek gombaként szaporodnak, az ipari vállalatok is elfogadják a technológia nyújtotta lehetőségeket és a világhálón lévő szolgáltatások köre is egyre bővül. Napról napra egyre többen használják ezeket: netbank, online jegyvásárlás, online biztosítás, a social media oldalakról nem is beszélve. Mióta a GDPR rendelet életbe lépett az adatvédelem egyre égetőbb szükség lett a cégek körében. Ennek ellenére a régióban lévő szolgáltatások biztonsága még gyermekcipőben jár, pedig, ha egy cégvezető kockázatelemzést csinál(tat) hamar konstatálhatja, hogy a kiberbiztonsági rizikó kiemelkedő és elengedhetetlen a biztonsági kontrollok bevezetése a cég fejlődése szempontjából. Egy kiberbiztonsági podcastban hangzott el egy jó hasonlat: a kiberbiztonság olyan, mint egy autónál a fék: nélküle nem lehet gyorsabban menni.

Általánosságban az Információbiztonsági felelős (Chief Information Security Officer – CISO) feladata elég nehéz: fel kell készülnie az elkerülhetetlenre, lényeges bizonyítékok nélkül ahhoz, hogy igazolja a költségvetést amire szüksége van az IT biztonság kialakításához vagy fenntartásához.

Az biztos, hogy évről évre egyre több adatlopás történik adatvédelmi incidensekben. 2020-ban az ENISA (European Union Agency for Cybersecurity, https://www.enisa.europa.eu/) szerint több tízmilliárd rekordot tártak fel adatsértésekben. A számítógépes bűnözés aránya növekszik és az ilyen jellegű bűncselekmények egyre gyakoribbak lesznek a jövőben.

Szerencsére egyre több cégnél van saját IT biztonsági felelős – esetleg egy egész csapat is – akik felmérik a cég működése és üzleti céljainak elérése szempontjából, hogy melyek a kritikus infrastruktúrához sorolandó eszközök. Miután ezeket azonosították, meg kell vizsgálni, hogy ezeknek megfelelő szintű-e a védelme. Ehhez, jó esetben van lehetőségük vagy szaktudásuk sérülékenységvizsgálatot csinálni mellyel felfedezhetik az anomáliákat a rendszereikben.

Jó esetben ezt a vizsgálatot meg is ismétlik minden változtatás után a szolgáltatásban és / vagy előre definiált időszakonként (pl. félévenként) elvégzik. Ennek hiányában a biztonsági sérülékenységekről nem szerez a cég tudomást és nagy kockázatnak van kitéve. Ennél eggyel jobb megoldás, ha a cég nyit egy Bug Bounty programot. De mi is ez valójában?

A bug bounty története

1983-ban a Hunter & Ready cég ajánlott fel először egy Volkswagen Beetle (i.e. bug – bogár) autót annak, aki hibát talált a Versatile Real-Time Executive (VRTX) operációs rendszerében. (Forrás: https://en.wikipedia.org/wiki/Bug_bounty_program)

Kicsit több mint egy évtizeddel később 1995. október 10-én a Netscape elindította az első technológiai hibavadász programot a Netscape Navigator 2.0 Béta verziójára. Az ötlet James Ridlinghafertől érkezett, aki észrevette, hogy a cég böngészőjének nagyszámú fanatikusa volt, akik szoftvermérnökök voltak és jóindulatból jelezték a program hibáit. Ez vezetett el a közösségi tesztelés erejéhez: több szem többet lát alapon.

Őket követték 2002-2005 között az első exploit szolgáltatók (iDefense, Zero Day Initiative) és a Mozilla, majd 2010-11-ben a Google és a Facebook saját Bug Bounty programot indított.

2011-ben elindult az első Bug Bounty platform az Amerikai Egyesült államokban, mert a cégek rájöttek a hibavadász programok előnyeire, de nagy humánerőforrást követelt tőlük a bejövő riportok validálása, nyomonkövetése saját erőforrásból, így egyszerűbb és kifizetődőbb volt kiszervezni ezt a tevékenységet.

2020 Magyarország: három IT biztonsági szakember úgy gondolta, hogy a régió cégei is megérdemlik, hogy új generációs IT biztonsági tesztelésben részt vehessenek, így létrehoztuk a HACKTIFY platformot (hacktify.eu).

Mire jó a platformunk?

Az etikus hackerek segítenek a vállalkozásoknak a sebezhetőség felderítésében, mielőtt a rosszfiúk találnák meg őket. Más szavakkal: egy hibavadász program futtatása előnyhöz juttatja a szervezetet azáltal, hogy proaktívan és prediktíven feltárja a sérülékenységeket. Tehát ez egy alternatív módszer a szoftveres és konfigurációs hibák észlelésére, amelyek átcsúszhatnak a fejlesztők és a kiberbiztonsági csapatok keze alatt, s később nagy problémákhoz vezethetnek. A bug bounty programok a nyitottság, az átláthatóság és a felelősség kultúrájának megteremtéséről szólnak.

Ha esetleg nincs pénzügyi lehetősége a cégnek ilyen program nyitására akkor is mindenképp ajánlott Sérülékenység Közzétételi Irányelvvel vagy más szóval Felelősségteljes Nyilvánosságra Hozatali Irányelvvel rendelkeznie.

Ezek a dokumentumok annak a folyamatát határozzák meg, hogy ha valaki talál egy sérülékenységet a cég szolgáltatásaiban, azokat jóhiszeműen hogyan tudja bejelenteni. Fontos része egy jogi nyilatkozat, melyben a cég vállalja, hogy ilyen bejelentések esetében nem indít eljárást az etikus hacker ellen. Ezzel egy win-win szituáció keletkezik: egyrészről a szervezet értesül a hibákról – amikről amúgy nem mernének szólni a kiberbiztonsági kutatók – másrészről az IT biztonsági szakember is megnyugszik – mert az általa talált és bejelentett hiba kijavításával biztonságosabb lesz a szolgáltatás és ezáltal az internet.

A Bug Bounty folyamata

1. Program definiálás
   1. Első körben egy online meeting keretein belül megbeszéljük a program tulajdonosával, hogy melyik típusú program lenne számára megfelelő: publikus, privát vagy helyszíni program. A publikus esetében minden regisztrált etikus hacker tesztelheti a rendszereket és jelenthet be hibákat. Privát program választásakor a HACKTIFY platformon található Rangsoron https://www.hacktify.eu/hu/hackerek/rangsor/ szereplő tesztelők kaphatnak meghívást és vehetnek részt a hibavadászatban. A helyszíni a legdiszkrétebb típus: a cég lokációján / laborjában kerülhet sor a tesztelésre.
   2. A program részleteit egyeztetjük a céggel: melyik szolgáltatás kerül be a programba, van-e esetleg olyan része, ami out of scope? Vannak-e tiltott módszerek, eszközök a tesztelés során? Milyen sérülékenységekre kíváncsi az ügyfél – és mire nem? Mekkora pénzügyi jutalom jár a talált és elfogadott hibákra?
2. Szerződéskötés

A fentieket minden esetben szerződésben rögzítjük és aláírás után megnyitjuk a programot. Publikus Bug Bounty esetében a platformra felkerül a Program leírás és erről minden regisztrált felhasználó értesítést kap.

3. Elkezdődik a hibavadászat

Az etikus hackerek nekiállnak tesztelni a Program leírás és a Tesztelés szabályzat betartásával a cég által kért rendszereket. Amennyiben találnak sérülékenységet, arról készítenek egy bug riportot a HACKTIFY platformján.

4. Bug riport validálás
   1. A HACKTIFY megkapja a riportot és leellenőrizzük, hogy megfelel-e a szabályoknak, valamint, hogy egyedi sérülékenységről van-e szó vagy már korábban bejelentésre került a hiba.
   2. Ha rendben van, akkor a Program tulajdonos felé továbbításra kerül a jelentés.
   3. A cég ellenőrzi a hibát és annak elfogadásáról értesítést küld a HACKTIFY részére.

5. Jutalom kifizetése és riport lezárása
   1. Az elfogadott bug-okra járó jutalmat a HACKTIFY elutalja a bejelentőnek. Reputációs pont is jár a sérülékenységek kritikussági szintjének megfelelően. Ezek a hacker profiljához adódnak hozzá, így feljebb kerülhet a Rangsorban és részvételt szerezhet privát programokban.
   2. A kifizetés után a bug riportot lezárjuk.

Nézd meg a szolgáltatásainkat (https://www.hacktify.eu/hu/cegek/szolgaltatasok/) és vedd fel velünk a kapcsolatot, ha

• bug bounty program;
• sérülékenység vizsgálat / behatolás teszt;
• GDPR megfelelőség vagy
• IT biztonsági auditra van szüksége a cégednek.

Amennyiben felkeltettük érdeklődésed látogasd meg a weboldalunkat: https://www.hacktify.eu/hu/