Petr Smolník, az AVERIA.NEWS kiadó főszerkesztője kérdezte Pavel Luptákot, a Hacktrophy társalapítóját, a Nethemba vezérigazgatóját arról, mi is az a „bug bounty” program, hogyan működik és mik a mai trendek.
Jó napot Pavel, kérem, mondja el nekünk, hogy mi a „bug bounty” program valamilyen tágabb összefüggésben. Mikor és hol keletkezett, és mi a szerepe a mai világban?
A „bug bounty” program egy közösségi platform, amely összeköti a webes vagy mobilalkalmazások (vagy más rendszerek) ügyfeleit vagy tulajdonosait és a hackereket, köztük a klasszikus biztonsági tesztelőket – az úgynevezett etikus hackereket, akik ezekben az alkalmazásokban talált biztonsági réseket keresnek és jelentenek. A Hacktrophy program ezután egyértelmű együttműködési szabályokat határoz meg mindkét fél számára. Ha az ún. etikus hacker betartja az összes megadott előírást, megtalálja és bejelenti a talált biztonsági rést, úgy az ügyfél ezért a felfedezésért a projektben előre meghatározott jutalmat fizet neki.
A „bug bounty” platform üzemeltetője általában felelős a találat valódiságának ellenőrzéséért, függetlenül attól, hogy valódi sebezhetőségről van-e szó vagy sem. Valamint közvetíti és megkönnyíti a kommunikációt a műszaki beállítottságú hacker és a (nem műszaki) ügyfél között.
Az első „bug bounty” típusú programot 1983-ban hozták létre az Egyesült Államokban, és a Volkswagen Beetle-vel kapcsolatos problémák bejelentésére.
Napjainkban a „bug bounty” programoknak számos üzemeltetője van szerte a világon, és ezek a kulcsfontosságú elemek a biztonsági tesztelésben, valamint az alkalmazások és a hálózat biztonságának javításában. Ezeket a szolgáltatásokat általában Észak-Amerikában és az EU nyugati részén veszik igénybe.
Mi a helyzet manapság ezeknek a programoknak az EU-ban és konkrétan a Cseh Köztársaságban és Szlovákiában történő bevezetésével? Hány cég használja ezeket a programokat?
Az EU-ban rendszeresen használják a „bug bounty” programokat, főleg a nyugati piacokon. Más folyamatokhoz és szolgáltatásokhoz hasonlóan ez is itt fejlődött ki először. Ezután érkezik meg „keletre”. A cégek fokozatosan tanulják meg az ilyen programok használatát. A gazdasági társaságok saját weboldalukon található információiból alakul ki, amely” az ügyfelek részére lett kijelölve, hogy jelentsék a rendszer vagy termék használata közben fellépő hibát, és ma már egyre több cégnek van ilyen felhívása a weboldalán. Azt kérik, hogy jelentsék be a talált „sebezhetőséget” például egy típus e-mailben, mint „security@…”
Ezt többnyire csak a vásárlók látják, de a „bug bounty” platformmal igencsak fejleszti az együttműködést. A közzétett projekt ezután nemcsak az ügyfeleket, hanem nagyobb számú etikus hackert is megszólíthat.
Csehországban és Szlovákiában már vannak a „bug bounty”-val együttműködő cégek. Nem sok van belőlük, inkább kevesen vannak, de a növekvő ügyfélkör igényei egyre nőnek.
Mi vár ránk a közeljövőben kiberbiztonsági szempontból, és milyen lehetőségei vannak a cégeknek ezen programok használatára?
Én személy szerint a mesterséges intelligenciában érzékelem a legnagyobb elmozdulást, amely már közvetlenül a forráskódokban (például az úgynevezett smart szerződésekben) tud keresni kifinomult biztonsági réseket. Saját rosszindulatú programokat vagy exploit-okat is képes írni. Valami olyasmit, amit néhány évvel ezelőtt nem tudtunk volna elképzelni.
Természetesen még gyerekcipőben jár, és az valós tesztelők és az etikus hackerek a „bug bounty” platformokon még mindig pótolhatatlanok. Jutalmaktól motiválva nagyszámú biztonsági tesztelő szolgáltatását nyújtják.
A „bug bounty” program használatának szükségessége az EU nyugati részén már számos cég biztonsági politikájában szerepel, és ennek következtében ez Csehországban és Szlovákiában is kötelezővé válik. A „bug bounty” előnyeit kezdik érzékelni az EU középső régióiban is, és minden bizonnyal a saját biztonságuk érdekében használni is fogják.
Egy hacker szolgáltatásait reálisan elfogadott jutalomért igénybe venni, amit a cég maga határoz meg, remek ötlet és harc az úgynevezett „black hat hacker” valódi „hackelése” ellen. A sérülékenységek kihasználása vagy közzététele a sötét weben komoly problémákat okozhat. A támadástól, a lopástól és a működési zavarok okozástól kezdve a rendszerjavításokkal kapcsolatos jelentős pénzügyi költségekig és a jogszabályi követelmények be nem tartásáig. Az ügyfelek és partnerek bizalmának elvesztése is jelentős lehet.
A penetrációs tesztelés nagyszerű a rendszerindítás előtt. A „bug bounty” program viszont remek lehetőség a biztonság fenntartására működés közben.
És ez a lényeg!