Cyber sigurnost Security Services

Kako su hakeri postali lovci na sigurnosne propuste

Kako bi doskočile hakerskim napadima, kompanije sve češće isplaćuju velike sume novca “prijateljskim hakerima”, koji ih na vrijeme upozoravaju na postojanje sigurnosnog propusta. Iako je riječ o velikim ciframa, ovo ih ipak izađe jeftinije nego saniranje problema nakon što je šteta već učinjena

Izvor: Vesna Matić-Karić

E-mail: redakcija@asadria.com

U prošlom tekstu smo samo ovlaš spomenuli pojam „Bug Bounty“, koji se odnosi na praksu velikih kompanija da plaćaju prijateljski nastrojene hakere da ih obavještavaju o novim sigurnosnim problemima. Većina kompanija poput Googlea, Tesle i Facebooka, pa čak i Ministarstva odbrane SAD-a, dijele Bug Bountyje – novčane nagrade za otkrivanje propusta, koje mogu iznositi i do vrtoglavih milion dolara. Ovakva razmjena dobara odgovara svima: hakerima, jer su odlično plaćeni po otkrivenom propustu, a kompanijama zato što je ovo objektivno dobro uložen novac – za saniranje problema nastalih usljed hakerskog napada platili bi znatno više.

Razlozi koji idu u prilog Bug Bountyju

Prvi razlog su, naravno, finansije. Prosječan trošak koji nastaje usljed hakerskog napada iznosi četiri miliona dolara ili, tačnije, oko 158 dolara po zahvaćenom korisniku. Međutim, trošak neće biti isti u svim uslovima za različite kompanije. Ovdje možemo navesti primjer Sonyja, koji je 2015. godine procijenio da će ga kombinovani troškovi istraživanja Guardians of Peace hakerskog napada i pronalaska rješenja za njega koštati 15 miliona dolara. Osim toga, Sony je te godine morao isplatiti i dodatnih osam miliona dolara u sudskom procesu koji su protiv njega pokrenuli bivši zaposlenici čiji su podaci u toku napada bili ukradeni. Dakle, sada je dosta jasnije zašto su Bug Bounty isplate visoke i zašto djeluju sasvim opravdano. Jasno je da na ovaj način velike kompanije nastoje minimizirati potencijalnu štetu koja nastaje usljed sigurnosnih propusta koji ne budu otkriveni na vrijeme. Drugi razlog je brzina. Što kompaniji treba više vremena da otkrije o kakvom je sigurnosnom propustu riječ, to su veći troškovi. Zbog toga na scenu stupaju Bug Bounty programi. Time hakeri koji žele zaraditi na malo dostojanstveniji način mogu unaprijed tragati za potencijalnim propustima i dobiti novac za to, a pri tome omogućiti kompanijama da na vrijeme saniraju problem.

Ovdje je bitno navesti podatak Ponemon instituta da bi, ukoliko kompanija sanira sigurnosnu prijetnju u roku 100 dana, troškovi rješavanja problema trebali iznositi u prosjeku 3,2 miliona dolara, nasuprot 4,4 miliona koliko bi ih u prosjeku koštala sanacija ako problem otkriju nakon ovog roka. Još jedan razlog zbog kojeg su velike kompanije voljne isplatiti velike cifre hakerima koji na vrijeme otkriju sigurnosne propuste leži u potrebi da ovakvi problemi po svaku cijenu ostanu skriveni od javnosti. Međutim, ako je riječ o haktivistima koji napadom žele objelodaniti svoja politička uvjerenja, teško da može biti govora o nekoj tajnosti. Tako su, recimo, prilikom hakerskog napada na Sony bili hakirani i kompanijski Twitter profili, pa su se na njima pojavile grafički veoma zanimljive poruke o uspješno odrađenom hakerskom napadu.

Internet Bug Bounty za open source softver

Osim nagrada koje pojedinačno dijele kompanije, postoji i Internet Bug Bounty projekt (Internetbugbounty.org), koji novčano nagrađuje hakere za pronalaženje kritičnih propusta u Pythonu, OpenSSL-u i drugim open source softverima i jezicima, uključujući i generalne internetske propuste. Ovaj program je nastao nakon što su njegovi osnivači, ali i sami sponzori, uvidjeli da su neki od najkritičnijih sigurnosnih propusta u historiji interneta ispravljeni zahvaljujući čistom altruizmu i pomoći pojedinaca koji su bili dovoljno stručni, znatiželjni i voljni da pomognu bez ikakve naknade kada naiđu na neki problem. Kako bi se odužili ovakvim pojedincima i zahvalili im na konkretan način, nastao je Internet Bug Bounty program, a za sada ga sponzorišu Facebook, Microsoft, Ford fondacija, GitHub i Hackerone. Programom upravlja nezavisna komisija koju čine sigurnosni stručnjaci koji donose pravila, dodjeljuju nagrade i imaju ulogu posrednika. Dakle, odgovorni su za formiranje pravila kojima se program rukovodi, odlučuju o dodjeljivanju nagrada u slučajevima u kojima se procijeni da su neophodna dodatna istraživanja vezana za cyber sigurnost te posreduju u svim neslaganjima do kojih može doći u procesu održavanja sigurnosti.

A evo kako stvari funkcionišu: komisija izabere najpopularniji softver koji je neophodan za pravilno funkcionisanje interneta, a zatim traži od hakera da ga hakiraju. Ako se ispostavi da hakerovo otkriće može internet učiniti sigurnijim, odnosno ako su otkriveni propusti dovoljno ozbiljni, slijedi isplata novčane nagrade hakeru ili njegovoj omiljenoj neprofitnoj organizaciji. Internet Bug Bounty projekt sponzorišu individualci i organizacije kojima je posebno stalo do održavanja adekvatnog nivoa kolektivne internetske sigurnosti. Zanimljivo je da komisija ne dobija procent od nagrada za pronađeni sigurnosni propust – haker dobija 100% iznosa. Isto tako, iako plaćaju za pronalazak problema, sponzori nemaju nikakva ekskluzivna prava na uvid u pronađene sigurnosne propuste.

Kakvi tipovi otkrivenih bugova zaslužuju isplatu i ko odlučuje o njenoj visini?

Prije nego što uopšte stekne pravo na isplatu u slučaju otkrivenog buga, haker prvo mora ispoštovati neka pravila: mora paziti na to da prilikom otkrivanja sigurnosnog propusta ne naruši tuđu privatnost, mora raditi u okviru pravila koja su postavili članovi sigurnosnog tima Internet Bug Bounty projekta (o tome više na: Hackerone.com/disclosure-guidelines), a mora pripaziti i na to da prilikom cijelog procesa ne naškodi nekoj trećoj strani.

Što se tiče određivanja visine isplate po otkrivenom bugu, glavnu riječ o tome vodi sigurnosni tim, koji, osim okvirne procjene koju donosi već spomenuta komisija, detaljno procjenjuje svaki izvještaj pojedinačno kako bi se utvrdilo koliku nagradu haker zaslužuje i da li je uopšte zaslužuje. Ukoliko dođe do nekih neslaganja između hakera i odluke sigurnosnog tima, komisija posreduje kako bi se pronašlo rješenje koje bi zadovoljilo obje strane. Ovdje treba naglasiti i to da se na ovaj program prijavljuje samo ukoliko se otkriveni bug tiče kompanije koja nema već oformljen vlastiti Bug Bounty program. U svim ostalim slučajevima treba se javiti direktno tim kompanijama i s njima odraditi potrebnu proceduru.

Internet Bug Bounty: zanimljiva prilika za zaradu

Do sada je posredstvom Internet Bug Bounty programa 150 hakera primilo više od 600.000 dolara za otkrivanje više od 659 sigurnosnih propusta. Otkrivanjem ovih propusta poboljšana je sigurnost interneta, a to uključuje i bugove poput Heartbleeda, za kojeg je isplaćeno 15.000 dolara, zatim Shellshocka, za kojeg je Internet Bug Bounty projekt isplatio 20.000 dolara, te ImageTragicka, čije je otkrivanje u tom trenutku vrijedilo 75.000 dolara. Na zvaničnoj stranici organizacije pod “The Projects & Bug Bounties” možete pronaći sve dostupne projekte i njihovu novčanu vrijednost.

Related Posts

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *