Οι 7 κορυφαίες πλατφόρμες Bounty Bug για οργανισμούς για τη βελτίωση της ασφάλειας

Μόνο ένας χάκερ μπορεί να σκέφτεται σαν χάκερ. Έτσι, όταν πρόκειται να γίνετε «αντί χάκερ», ίσως χρειαστεί να απευθυνθείτε σε έναν χάκερ.

Η ασφάλεια εφαρμογών ήταν πάντα ένα καυτό θέμα που έγινε όλο και πιο καυτό με τον καιρό.

Ακόμη και με μια ορδή αμυντικών εργαλείων και πρακτικών στη διάθεσή μας (τείχη προστασίας, SSL, ασύμμετρη κρυπτογραφία κ.λπ.), καμία διαδικτυακή εφαρμογή δεν μπορεί να ισχυριστεί ότι είναι ασφαλής πέρα ​​από την εμβέλεια των χάκερ.

Γιατί αυτό?

Ο απλός λόγος είναι ότι η κατασκευή λογισμικού παραμένει μια πολύ περίπλοκη και εύθραυστη διαδικασία. Υπάρχουν ακόμα σφάλματα (γνωστά και άγνωστα) μέσα στο foundation που χρησιμοποιούν οι προγραμματιστές, και νέα δημιουργούνται με την κυκλοφορία νέου λογισμικού και βιβλιοθηκών. Ακόμη και οι κορυφαίες εταιρείες τεχνολογίας είναι έτοιμες για περιστασιακή αμηχανία και για καλό λόγο.

Προσλαμβάνουμε . . . Χάκερ!

Δεδομένου ότι τα σφάλματα και τα τρωτά σημεία πιθανότατα δεν θα εγκαταλείψουν ποτέ τη σφαίρα του λογισμικού, πού αφήνει τις επιχειρήσεις να εξαρτώνται από αυτό το λογισμικό για να επιβιώσουν; Πώς μπορεί, για παράδειγμα, μια νέα εφαρμογή πορτοφολιού να είναι σίγουρη ότι θα αντισταθεί στις άσχημες προσπάθειες των χάκερ;

Ναι, το έχετε μαντέψει μέχρι τώρα: προσλαμβάνοντας χάκερ να έρθουν και να ρίξουν μια ματιά σε αυτήν την εφαρμογή που δημιουργήθηκε πρόσφατα! Και γιατί να το κάνουν; Ακριβώς επειδή υπάρχει ένα αρκετά μεγάλο bounty σε προσφορά – το bug bounty! 🙂

Αν η λέξη «γεννητικότητα» φέρνει αναμνήσεις από την Άγρια Δύση και τις σφαίρες που εκτοξεύτηκαν χωρίς εγκατάλειψη, αυτή ακριβώς είναι η ιδέα εδώ. Με κάποιο τρόπο, οι πιο επίλεκτοι και ενημερωμένοι χάκερ (ειδικοί σε θέματα ασφάλειας) μπορούν να γνωστοποιήσουν την εφαρμογή σας και αν βρουν κάτι, ανταμείβονται.

Υπάρχουν δύο τρόποι για να το κάνετε: 1) να φιλοξενήσετε μόνοι σας ένα bug bounty. 2) χρησιμοποιώντας μια πλατφόρμα bounty bug.

Bug Bounty: Αυτο-φιλοξενούμενες έναντι πλατφορμών

Γιατί να μπείτε στον κόπο να επιλέξετε (και να πληρώσετε) μια πλατφόρμα επιβράβευσης σφαλμάτων όταν μπορείτε απλώς να τη φιλοξενήσετε μόνοι σας. Θέλω να πω, απλώς δημιουργήστε μια σελίδα με τις σχετικές λεπτομέρειες και κάντε λίγο θόρυβο στα μέσα κοινωνικής δικτύωσης. Προφανώς δεν μπορεί να αποτύχει, σωστά;

Ο χάκερ δεν πείθεται!

Λοιπόν, αυτή είναι μια τακτοποιημένη ιδέα, αλλά δείτε την από την οπτική γωνία του χάκερ. Το να παλεύεις για σφάλματα δεν είναι εύκολη υπόθεση, καθώς απαιτεί αρκετά χρόνια εκπαίδευσης, ουσιαστικά απεριόριστη γνώση των παλαιών και νέων πραγμάτων, τόνους αποφασιστικότητας και περισσότερη δημιουργικότητα από ό,τι έχουν οι περισσότεροι «εικαστικοί σχεδιαστές» (συγγνώμη, δεν μπόρεσα να αντισταθώ σε αυτό! :-Π).

  Κατανόηση διαφορετικών τύπων δοκιμών εφαρμογών

Ο χάκερ δεν ξέρει ποιος είστε ή δεν είναι σίγουρος ότι θα πληρώσετε. Ή ίσως, δεν έχει κίνητρο. Τα αυτο-φιλοξενούμενα bounties λειτουργούν για τζιχαντέρ όπως η Google, η Apple, το Facebook κ.λπ., τα ονόματα των οποίων οι άνθρωποι μπορούν να βάλουν στο χαρτοφυλάκιό τους με περηφάνια. Το “Βρέθηκε μια κρίσιμη ευπάθεια σύνδεσης στην εφαρμογή HRMS που αναπτύχθηκε από την XYZ Tech Systems” δεν ακούγεται εντυπωσιακό, έτσι δεν είναι (με τη δέουσα συγγνώμη σε οποιαδήποτε εταιρεία εκεί έξω που μπορεί να μοιάζει με αυτό το όνομα!);

Έπειτα, υπάρχουν και άλλοι πρακτικοί (και συντριπτικοί λόγοι) για να μην πηγαίνετε σόλο όταν πρόκειται για bug bounties.

Έλλειψη υποδομών

Οι «χάκερ» για τους οποίους μιλάμε δεν είναι αυτοί που καταδιώκουν το Dark Web.

Αυτοί δεν έχουν χρόνο ή υπομονή για τον «πολιτισμένο» κόσμο μας. Αντίθετα, μιλάμε εδώ για ερευνητές από το υπόβαθρο της επιστήμης των υπολογιστών που είτε είναι σε πανεπιστήμιο είτε είναι κυνηγοί επικηρυγμένων για μεγάλο χρονικό διάστημα. Αυτοί οι άνθρωποι θέλουν και υποβάλλουν πληροφορίες σε μια συγκεκριμένη μορφή, κάτι που είναι από μόνο του πόνος να το συνηθίσεις.

Ακόμη και οι καλύτεροι προγραμματιστές σας θα δυσκολευτούν να συμβαδίσουν και το κόστος ευκαιρίας μπορεί να αποδειχθεί πολύ υψηλό.

Επίλυση υποβολών

Τέλος, υπάρχει το θέμα της απόδειξης. Το λογισμικό μπορεί να βασίζεται σε πλήρως ντετερμινιστικούς κανόνες, αλλά το πότε ακριβώς ικανοποιείται μια συγκεκριμένη απαίτηση είναι αντικείμενο συζήτησης. Ας πάρουμε ένα παράδειγμα για να το καταλάβουμε καλύτερα.

Ας υποθέσουμε ότι δημιουργήσατε ένα bug bounty για σφάλματα ελέγχου ταυτότητας και εξουσιοδότησης. Δηλαδή, ισχυρίζεστε ότι το σύστημά σας είναι απαλλαγμένο από τους κινδύνους πλαστοπροσωπίας, τους οποίους πρέπει να ανατρέψουν οι χάκερ.

Τώρα, ο χάκερ βρήκε μια αδυναμία που βασίζεται στον τρόπο λειτουργίας ενός συγκεκριμένου προγράμματος περιήγησης, η οποία του επιτρέπει να κλέψει το διακριτικό περιόδου λειτουργίας ενός χρήστη και να τον πλαστοπροσωπήσει.

Είναι έγκυρο εύρημα;

Από την οπτική γωνία του χάκερ, σίγουρα, μια παραβίαση είναι παραβίαση. Από τη δική σας οπτική γωνία, ίσως όχι, επειδή είτε πιστεύετε ότι αυτό εμπίπτει στον τομέα ευθύνης του χρήστη είτε ότι το πρόγραμμα περιήγησης απλά δεν ανησυχεί για την αγορά-στόχο σας.

  3 χρυσοί κανόνες λογιστικής που πρέπει να γνωρίζει κάθε ιδιοκτήτης επιχείρησης

Αν όλο αυτό το δράμα συνέβαινε σε μια πλατφόρμα επιβράβευσης σφαλμάτων, θα υπήρχαν ικανοί διαιτητές να αποφασίσουν τον αντίκτυπο της ανακάλυψης και να κλείσουν το ζήτημα.

Με αυτά τα λόγια, ας δούμε μερικές από τις δημοφιλείς πλατφόρμες bounty bug εκεί έξω.

YesWeHack

YesWeHack είναι μια παγκόσμια πλατφόρμα επιβράβευσης σφαλμάτων που προσφέρει αποκάλυψη ευπάθειας και ασφάλεια crowdsourced σε πολλές χώρες όπως η Γαλλία, η Γερμανία, η Ελβετία και η Σιγκαπούρη. Παρέχει μια ανατρεπτική λύση του Bug Bounty για την αντιμετώπιση των απειλών που αυξάνονται με την αύξηση της επιχειρηματικής ευελιξίας όπου τα παραδοσιακά εργαλεία δεν ανταποκρίνονται πλέον στις προσδοκίες.

Το YesWeHack σάς επιτρέπει να έχετε πρόσβαση στην εικονική δεξαμενή ηθικών χάκερ και να μεγιστοποιήσετε τις δυνατότητες δοκιμών. Επιλέξτε τους κυνηγούς που θέλετε και υποβάλετε τα πεδία που θα δοκιμαστούν ή μοιραστείτε τα με την κοινότητα YesWeHack. Ακολουθεί ορισμένους αυστηρούς κανονισμούς και πρότυπα για την προστασία των συμφερόντων των κυνηγών καθώς και των δικών σας.

Βελτιώστε την ασφάλεια της εφαρμογής σας αξιοποιώντας την ανταπόκριση του κυνηγού και ελαχιστοποιήστε το χρόνο για την αποκατάσταση και τον εντοπισμό τρωτών σημείων. Θα μπορείτε να δείτε τη διαφορά μόλις ξεκινήσετε το πρόγραμμα.

Ανοίξτε το Bug Bounty

Πληρώνετε υπερβολικά για προγράμματα επιβράβευσης σφαλμάτων;

Προσπαθήστε Ανοίξτε το Bug Bounty για δοκιμές ασφάλειας πλήθους.

Αυτή είναι μια πλατφόρμα επιβράβευσης σφαλμάτων με γνώμονα την κοινότητα, ανοιχτή, χωρίς κόστος και χωρίς διαμεσολάβηση. Επιπλέον, προσφέρει υπεύθυνη και συντονισμένη αποκάλυψη ευπάθειας συμβατή με το ISO 29147. Μέχρι σήμερα, έχει βοηθήσει στην επιδιόρθωση πάνω από 641.000 ευπαθειών.

Ερευνητές ασφάλειας και επαγγελματίες από κορυφαίους ιστότοπους όπως WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha και άλλοι έχουν χρησιμοποιήσει την πλατφόρμα Open Bug Bounty για να επιλύσουν ζητήματα ασφαλείας, όπως ευπάθειες XSS, ενέσεις SQL κ.λπ. Μπορείτε να βρείτε επαγγελματίες με υψηλή γνώση και απόκριση για να ολοκληρώσετε τη δουλειά σας γρήγορα.

Χάκερονε

Μεταξύ των προγραμμάτων επιβράβευσης σφαλμάτων, Χάκερονε είναι ο ηγέτης όσον αφορά την πρόσβαση σε χάκερ, τη δημιουργία των προγραμμάτων σας bounty, τη διάδοση της είδησης και την αξιολόγηση των συνεισφορών.

Υπάρχουν δύο τρόποι με τους οποίους μπορείτε να χρησιμοποιήσετε το Hackerone: χρησιμοποιήστε την πλατφόρμα για να συλλέξετε αναφορές ευπάθειας και να τις επεξεργαστείτε μόνοι σας ή αφήστε τους ειδικούς στο Hackerone να κάνουν τη σκληρή δουλειά (triaging). Το Triaging είναι απλώς η διαδικασία κατάρτισης αναφορών ευπάθειας, επαλήθευσής τους και επικοινωνίας με χάκερ.

  Πώς να χρησιμοποιήσετε το PayPal με το iPhone και το Mac App Store της Apple

Το Hackerone χρησιμοποιείται από μεγάλα ονόματα όπως το Google Play, το PayPal, το GitHub, τα Starbucks και τα παρόμοια, επομένως φυσικά, είναι για όσους έχουν σοβαρά σφάλματα και σοβαρές τσέπες. 😉

bugcrowd

bugcrowd προσφέρει πολλές λύσεις για αξιολογήσεις ασφαλείας, μία από αυτές είναι το Bug Bounty. Παρέχει μια λύση SaaS που ενσωματώνεται εύκολα στον υπάρχοντα κύκλο ζωής του λογισμικού σας και καθιστά εύκολη την εκτέλεση ενός επιτυχημένου προγράμματος bounty bug.

Μπορείτε να επιλέξετε να έχετε ένα ιδιωτικό πρόγραμμα επιβράβευσης σφαλμάτων που περιλαμβάνει ορισμένους εκλεκτούς χάκερ ή ένα δημόσιο πρόγραμμα που συγκεντρώνει χιλιάδες χρήστες.

SafeHats

Εάν είστε επιχείρηση και δεν αισθάνεστε άνετα να κάνετε το πρόγραμμα bug bounty σας δημόσιο — και ταυτόχρονα χρειάζεστε περισσότερη προσοχή από αυτή που μπορεί να σας προσφέρει μια τυπική πλατφόρμα bug bounty — SafeHats είναι το πιο ασφαλές στοίχημά σας (τρομερό λογοπαίγνιο, ε;).

Ειδικός σύμβουλος ασφαλείας, σε βάθος προφίλ χάκερ, συμμετοχή μόνο με πρόσκληση — όλα παρέχονται ανάλογα με τις ανάγκες σας και την ωριμότητα του μοντέλου ασφαλείας σας.

Intigriti

Intigriti είναι μια ολοκληρωμένη πλατφόρμα επιβράβευσης σφαλμάτων που σας συνδέει με χάκερ λευκών καπέλων, είτε θέλετε να εκτελέσετε ένα ιδιωτικό πρόγραμμα είτε ένα δημόσιο.

Για τους χάκερ, υπάρχουν πολλά επιδόματα να αρπάξει. Ανάλογα με το μέγεθος και τον κλάδο της εταιρείας, διατίθενται κυνήγι σφαλμάτων που κυμαίνονται από 1.000 έως 20.000 €.

Synack

Το Synack φαίνεται να είναι μια από αυτές τις εξαιρέσεις της αγοράς που σπάνε το καλούπι και καταλήγουν να κάνουν κάτι τεράστιο. Το πρόγραμμα ασφαλείας τους Χακάρετε το Πεντάγωνο ήταν το σημαντικότερο σημείο, που οδήγησε στην ανακάλυψη πολλών κρίσιμων τρωτών σημείων.

Επομένως, εάν δεν αναζητάτε απλώς την ανακάλυψη σφαλμάτων, αλλά και την καθοδήγηση και την εκπαίδευση σε θέματα ασφάλειας σε κορυφαίο επίπεδο, Synack είναι ο δρόμος που πρέπει να πάτε.

συμπέρασμα

Ακριβώς όπως μένετε μακριά από θεραπευτές που διακηρύσσουν «θαυματουργές θεραπείες», παρακαλούμε μείνετε μακριά από οποιονδήποτε ιστότοπο ή υπηρεσία που λέει ότι είναι δυνατή η αλεξίσφαιρη ασφάλεια. Το μόνο που μπορούμε να κάνουμε είναι να πάμε ένα βήμα πιο κοντά στο ιδανικό. Ως εκ τούτου, τα προγράμματα επιβράβευσης σφαλμάτων δεν θα πρέπει να αναμένεται να παράγουν εφαρμογές μηδενικού σφάλματος, αλλά θα πρέπει να θεωρηθούν ως μια ουσιαστική στρατηγική για την εξάλειψη των πραγματικά δυσάρεστων.

Ελέγξτε αυτό μάθημα κυνηγιού επικηρυγμένων σφαλμάτων για να μάθετε και να κερδίσετε φήμη, ανταμοιβές και εκτίμηση.

Μάθετε για τα μεγαλύτερα προγράμματα επιβράβευσης σφαλμάτων στον κόσμο.

Ελπίζω να στριμώξετε πολλά από τα σφάλματα! 🙂