Само хакер може да размишља као хакер. Дакле, када дође до тога да постанете „отпорни на хакере“, можда ћете морати да се обратите хакеру.
Безбедност апликација је одувек била врућа тема која је временом постајала све врућа.
Чак и са хордом одбрамбених алата и праксе на располагању (заштитни зидови, ССЛ, асиметрична криптографија, итд.), ниједна веб апликација не може тврдити да је безбедна ван домашаја хакера.
Зашто је то?
Једноставан разлог је тај што израда софтвера остаје веома сложен и крхак процес. Још увек постоје грешке (познате и непознате) унутар фондације које програмери користе, а нове се стварају лансирањем новог софтвера и библиотека. Чак су и врхунске технолошке компаније спремне на повремену срамоту, и то са добрим разлогом.
Преглед садржаја
Сада запошљавам. . . Хакери!
С обзиром на то да грешке и рањивости вероватно никада неће напустити домен софтвера, где оставља предузећа зависна од овог софтвера да преживе? Како, на пример, нова апликација за новчаник може бити сигурна да ће се супротставити гадним покушајима хакера?
Да, већ сте погодили: унајмљивањем хакера да дођу и пробију ову нову апликацију! А зашто би? Само зато што је у понуди довољно велика награда — награда за бубе! 🙂
Ако реч „награда“ буди сећања на Дивљи запад и метке који се испаљују без прекида, то је управо оно што је идеја овде. Некако наведете најелитније и најобразованије хакере (експерте за безбедност) да прогласе вашу апликацију, а ако нешто пронађу, биће награђени.
Постоје два начина да то урадите: 1) да сами организујете награду за грешке; 2) коришћење платформе за награђивање грешака.
Буг Боунти: Само-хостовани у односу на платформе
Зашто бисте се мучили са одабиром (и плаћањем) платформе за награђивање грешака када можете једноставно да је сами хостујете. Мислим, само направите страницу са релевантним детаљима и направите мало буке на друштвеним медијима. Очигледно не може пропасти, зар не?
Хакер није убеђен!
Па, то је згодна идеја, али погледајте је из перспективе хакера. Борба за грешке није лак задатак, јер захтева неколико година обуке, практично неограничено знање о старим и новим стварима, тону одлучности и више креативности од већине „визуелних дизајнера“ (извините, нисам могао да одолим томе! :-П).
Хакер не зна ко сте или није сигуран да ћете платити. Или можда, није мотивисан. Награде које сами организују раде за велике групе као што су Гоогле, Аппле, Фацебоок, итд., чија имена људи могу са поносом ставити у свој портфолио. „Пронађена критична рањивост приликом пријављивања у апликацији ХРМС коју је развио КСИЗ Тецх Системс“ сада не звучи импресивно, зар не (уз дужно извињење било којој компанији која би могла да личи на ово име!)?
Затим постоје и други практични (и огромни разлози) да не идете сами када су у питању награде за грешке.
Недостатак инфраструктуре
„Хакери“ о којима смо причали нису они који вребају Дарк Веб.
Они немају времена ни стрпљења за наш „цивилизовани“ свет. Уместо тога, овде говоримо о истраживачима из рачунарске науке који су или на универзитету или су ловци на главе већ дуже време. Ови људи желе и шаљу информације у одређеном формату, на који се сам по себи тешко навикнути.
Чак и ваши најбољи програмери ће се борити да одрже корак, а опортунитетни трошак може се показати превисоким.
Решавање поднесака
Коначно, ту је и питање доказа. Софтвер би могао бити изграђен на потпуно детерминистичким правилима, али је предмет расправе када је тачно одређени захтев испуњен. Узмимо пример да ово боље разумемо.
Претпоставимо да сте креирали награду за грешке за грешке у аутентификацији и ауторизацији. То јест, ви тврдите да је ваш систем ослобођен од ризика лажног представљања, које хакери морају да подметну.
Сада је хакер пронашао слабост засновану на томе како одређени прегледач функционише, што им омогућава да украду корисников токен сесије и да се лажно представљају.
Да ли је то валидан налаз?
Из перспективе хакера, дефинитивно, кршење је пробој. Из ваше перспективе, можда и не, јер или мислите да ово спада у домен одговорности корисника или да претраживач једноставно није брига за ваше циљно тржиште.
Да се сва ова драма дешавала на платформи за награђивање грешака, постојали би способни арбитри да одлуче о утицају открића и да реше проблем.
Уз то, хајде да погледамо неке од популарних платформи за награђивање грешака.
ИесВеХацк
ИесВеХацк је глобална платформа за награђивање грешака која нуди откривање рањивости и безбедност корисника у многим земљама као што су Француска, Немачка, Швајцарска и Сингапур. Пружа реметилачко решење Буг Боунти-ја за решавање претњи које се повећавају са повећањем пословне агилности где традиционални алати више не испуњавају очекивања.
ИесВеХацк вам омогућава да приступите виртуелном скупу етичких хакера и максимизирате могућности тестирања. Изаберите ловце које желите и пошаљите опсеге за тестирање или их поделите са заједницом ИесВеХацк. Прати неке строге прописе и стандарде како би заштитио интересе ловаца, као и ваше.
Побољшајте безбедност апликације тако што ћете искористити реакцију ловца и минимизирати време за санацију и откривање рањивости. Моћи ћете да видите разлику када покренете програм.
Отворите Буг Боунти
Да ли преплаћујете програме за награђивање грешака?
Покушати Отворите Буг Боунти за тестирање безбедности масе.
Ово је вођена заједница, отворена, бесплатна и непосредна платформа за награђивање грешака. Поред тога, нуди одговорно и координисано откривање рањивости компатибилно са ИСО 29147. До данас је помогао да се поправи преко 641 хиљада рањивости.
Безбедносни истраживачи и професионалци са водећих сајтова као што су ВикиХов, Твиттер, Веризон, ИКЕА, МИТ, Универзитет Беркли, Пхилипс, Иамаха и други су користили платформу Опен Буг Боунти да би решили своје безбедносне проблеме као што су КССС рањивости, СКЛ ињекције итд. Можете пронаћи високо образоване и одговорне професионалце који ће брзо обавити свој посао.
Хацкероне
Међу програмима за награђивање грешака, Хацкероне је лидер када је у питању приступ хакерима, креирање ваших програма награда, ширење речи и процена доприноса.
Постоје два начина на која можете да користите Хацкероне: користите платформу за прикупљање извештаја о рањивости и сами их разрадите или препустите стручњацима у Хацкероне-у да раде тежак посао (тријажирање). Тријажа је једноставно процес састављања извештаја о рањивости, њихове верификације и комуникације са хакерима.
Хацкероне користе велика имена попут Гоогле Плаи-а, ПаиПал-а, ГитХуб-а, Старбуцкс-а и сличних, тако да је, наравно, за оне који имају озбиљне грешке и озбиљне џепове. 😉
Бугцровд
Бугцровд нуди неколико решења за безбедносне процене, једно од њих је Буг Боунти. Пружа СааС решење које се лако интегрише у ваш постојећи животни циклус софтвера и чини брзим покретање успешног програма за откривање грешака.
Можете одабрати да имате приватни програм за награђивање грешака који укључује неколико одабраних хакера или јавни који прикупља хиљаде људи.
СафеХатс
Ако сте предузеће и не осећате се пријатно да свој програм награђивања грешака учините јавним — а у исто време треба више пажње него што може да понуди типична платформа за награђивање грешака — СафеХатс је ваша најсигурнија опклада (ужасна игра речи, ха?).
Наменски саветник за безбедност, детаљни профили хакера, учешће само по позиву — све је обезбеђено у зависности од ваших потреба и зрелости вашег безбедносног модела.
Интигрити
Интигрити је свеобухватна платформа за откривање грешака која вас повезује са белим хакерима, било да желите да покренете приватни или јавни програм.
За хакере, има их доста благодати да зграбите. У зависности од величине компаније и индустрије, лов на бубе је доступан у распону од 1.000 до 20.000 евра.
Синацк
Чини се да је Синацк један од оних тржишних изузетака који разбијају калуп и на крају раде нешто велико. Њихов безбедносни програм Хакирајте Пентагон је био главни врхунац, што је довело до откривања неколико критичних рањивости.
Дакле, ако тражите не само откривање грешака, већ и безбедносне смернице и обуку на највишем нивоу, Синацк је пут којим треба ићи.
Закључак
Баш као што се држите подаље од исцелитеља који проглашавају „чудотворне лекове“, молимо вас да се клоните било које веб странице или услуге која каже да је могућа сигурност отпорна на метке. Све што можемо да урадимо је да се приближимо за корак ка идеалу. Као такви, не треба очекивати да програми за прикупљање грешака производе апликације без грешака, већ их треба посматрати као суштинску стратегију у уклањању оних заиста гадних.
Погледај ово курс за лов на бубе да уче и стекну славу, награде и уважавање.
Сазнајте више о највећим програмима за награђивање грешака на свету.
Надам се да ћете уништити многе бубе! 🙂