Τα bug bounty προγράμματα έχουν ευρέως διαδοθεί στις μέρες μας μιας, όχι μόνο γιατί υπάρχει χρηματικό έπαθλο για τον άνθρωπο που θα εντοπίσει την ευπάθεια αλλά βοηθάει και τον οργανισμό που το προσφέρει ώστε να γίνεται όλο και πιο ασφαλής. Αντίστοιχη μεγάλη επιτυχία έχει δει το bug bounty πρόγραμμα του SecNews, κατά τη διάρκεια του οποίου έχουν αποσταλεί πολλές εύστοχες παρατηρήσεις από πολλούς αναγνώστες μας αλλά και ερευνητές του εξωτερικού. Πρόσφατα μάλιστα Έλληνας ερευνητής εντόπισε ΑΚΡΩΣ ΣΗΜΑΝΤΙΚΗ αδυναμία και βραβεύτηκε με χρηματικό ποσό.
Είναι η πρώτη φορά που εντοπίζεται σημαντική αδυναμία στην ιστοσελίδα του SecNews, αν και πολλές φορές στο παρελθόν η ιστοσελίδα μας είχε στοχοποιηθεί ποικιλοτρόπως αλλά δεν είχαν εντοπιστεί σημαντικές αδυναμίες, παρα μόνο αδυναμίες χαμηλού ή μηδαμινού ρίσκου.
Ο ερευνητής (τα στοιχεία του οποιού παραμένουν στην διάθεση του SecNews) κατόρθωσε να εντοπίσει zero-day αδυναμία, να γράψει μερικώς στην βάση δεδομένων και να αφαιρέσει το background image σε συγκεκριμένα posts μας. Θα θέλαμε να συγχαρούμε τον εν λόγω ερευνητή και ελπίζουμε να δούμε και αντίστοιχες υψηλού επιπέδου συμμετοχές στο μέλλον από whitehat / blackhat και gray-hat hackers.
Τι είναι το bug bounty πρόγραμμα;
Το bug bounty πρόγραμμα είναι ένα είδος συμφωνίας που προσφέρεται από κάποιες ιστοσελίδες και προγραμματιστές λογισμικού μέσω του οποίου τα άτομα μπορούν να λάβουν αναγνώριση και αποζημίωση για την αναφορά σφαλμάτων, ιδίως εκείνων που αφορούν την εκμετάλλευση τρωτών σημείων. Τα προγράμματα αυτά επιτρέπουν στους προγραμματιστές να ανακαλύψουν και να επιλύσουν τα σφάλματα πριν γίνουν γνωστά στο ευρύ κοινό, προλαβαίνοντας επεισόδια μη εξουσιοδοτημένης πρόσβασης ή παραβίασης πληροφοριακών συστημάτων. Bug Bounty προγράμματα έχουν και όλοι οι μεγάλοι φορείς, συμπεριλαμβανομένου και των Facebook,Yahoo!, Google, Reddit και πρόσφατα ανακοίνωσε ένα και η Apple.
Στην Ελλάδα βέβαια η κατάσταση είναι εντελώς διαφορετική και λανθασμένη. Εταιρείες “φοβούνται” να ανακοινώσουν προγράμματα bug bounty με αποτέλεσμα οι τρωτότητες σε εταιρείες και οργανισμούς να μην γίνονται ποτέ γνωστές, ενώ παράλληλα οι επιθέσεις Hacking και διαρροής δεδομένων συνεχίζονται .
Επιπροσθέτως αν κάποιοι ερευνητές ασφάλειας επικοινωνήσουν με εταιρείες για να ανακοινώσουν αδυναμίες πολλές φορές τυγχάνουν μηδενικής αναγνώρισης ενώ σε αρκετές περιπτώσεις απειλούνται ευθέως ακόμα και με μηνύσεις από αδαή στελέχη νομικών τμημάτων εταιρειών!!! (σ.σ δείγματα τριτοκοσμικών πρακτικών)
Οι υπεύθυνοι ασφάλειας εταιρειών και οργανισμών, πρέπει κάποια στιγμή να αντιληφθούν ότι για το cyber security δεν είναι μόνο εφαρμογή αόριστων πολιτικών και χρήση εργαλείων, αλλά συλλογικό ζήτημα με χρήση και επιβράβευση οποιουδήποτε (εντός συγκεκριμένων ορίων πάντα) ενημερώνει για ύπαρξη αδυναμιών και επιδιόρθωσή τους.
Το SecNews θα ανακοινώσει συγκεκριμένες δράσεις για την ευαισθητοποίηση εταιρειών αλλά και οργάνωση αντίστοιχων προγραμμάτων με χρήση βέλτιστων πρακτικών για εταιρείες και οργανισμούς. Οποιοσδήποτε το επιθυμεί μπορεί να επικοινωνήσει άμεσα μαζί μας μέσω των κοινωνικών μέσων δικτύωσης αλλά και στην γνωστή e-mail επικοινωνίας info@secnews.gr
SecNews Bug Bounty
Το Bug Bounty πρόγραμμα του SecNews υπάρχει για αρκετό καιρό και πολλοί είναι εκείνοι οι αναγνώστες που μας έχουν στείλει reports με τις παρατηρήσεις τους. Ωστόσο, οι ερευνητές που έχει βραβεύσει η ομάδα μας δεν είναι είναι τόσοι πολλοί σε σχέση με τους ερευνητές που έχουν μπει στη διαδικασία να μας ενημερώσουν για ενδεχόμενες ευπάθειες. Αυτό συμβαίνει γιατί το πρόγραμμα του SecNews περιλαμβάνει συγκεκριμένες προδιαγραφές που πρέπει να τηρούνται κατά την αναφορά των ευπαθειών αλλά και για το αποδεχόμενο είδος αδυναμιών.
Συγκεκριμένα, πρόσφατα, το SecNews βράβευσε με χρηματικό έπαθλο έναν ερευνητή που μας έστειλε μια ευπάθεια που βρισκόταν εντός του scope του bug bounty προγράμματός μας.
Αξίζει να σημειώσουμε ότι η πλατφόρμα που συνεργαζόμαστε και χρησιμοποιούμε για το bug bounty πρόγραμμά μας είναι η HackerOne. Πρόκειται για μια εταιρεία που έχει την έδρα της στο San Francisco της California, ο στόχος της οποίας είναι η υλοποίηση μιας bug bounty πλατφόρμας για μπορεί να συνδέει ΑΜΕΣΑ τις επιχειρήσεις με τους ερευνητές ασφαλείας. Μέσω αυτής, οι εταιρείες πληρώνουν τους ενδιαφερόμενους για να εντοπίσουν ευπάθειες στα συστήματα ή στα προϊόντα τους. Αντίστοιχα από την άλλη πλευρά, η πλατφόρμα προσφέρει ασφαλή διαμοίραση πληροφοριών και ένα σύστημα πληρωμής και φήμης για τους ερευνητές αναλόγως των ευρημάτων τους.
