最大のモバイルオペレーターが3か月間の無料インターネットで重大な脆弱性の支払いを行っているのはなぜですか?国営航空会社はパスポートデータと生年月日を機密情報ではなく、国の配信サービスNo.1がスクリーンショットでデータ漏洩を拒否していますか?
一方、別の大陸では、ペンタゴンは1,410 IS-shnikフリーランサーを収集し、見つかった脆弱性に対して75,000ドルを支払います。 米国国防総省も報奨プログラムを開始し、同省のすべての公式Webサイトで見つかった118の脆弱性(バグ)に対して100,000ドル以上を支払います。
この記事では、最も効果的なセキュリティ対策の1つであるバグ報奨金プログラムの実装およびメンテナンス機能について検討します。
セキュリティに対する国内企業の態度を完全に理解するために、最初の段落を開き、事実と詳細(証明)で補足します。
UIA航空会社の脆弱性とその不適切な応答に関する直近の投稿 、「引用されたデータは機密情報ではありません(生年月日やパスポートデータなど)」
さらに良いことですが、同じ奇妙な状況は、2016年の夏に最大の携帯電話会社であるKyivstarにありました。 最高デジタル責任者(CDO)の Vitaliy Sultan 氏は、同社はセキュリティを真剣に受け止めており、数週間でバグ報奨条件を公開することを希望していると述べました... )キエフスターがopenbugbountyの Webサイトで応答したくない脆弱性の完全な開示に関する完全なレポート
企業と白人のハッカーが同意できないのはなぜですか?
一見大きくて立派な企業の多くは、白人のハッカーの報告に不適切に反応し、あらゆる方法で顔を救おうとしていますが、あからさまな嘘をついています。 これは、評判を失い、明確な対応計画を立てられない恐れです。 その結果、すべてが恐れていたものに変わります。 はい、すべての陰謀と調査は技術者のパーティーで行われますが、遅かれ早かれ事件が出てビジネス出版物のページに到達し、さらに広がります。
このすべてが起こらなかったと確信しており、会社の適切な反応と平凡な感謝が摩擦を解決したでしょう。 少し詳しく見て、なぜこれが起こっているのか考えてみましょう。 私の経験から、バグバウンティプログラムに関する3つの典型的な恐怖を挙げます。
1.ハッカーにハッキングを促す理由
-発見された脆弱性に対する報酬プログラムは、不必要な注意を引く過度の動機であると多くの人が信じています。 「静かに行く-あなたは続ける」と彼らは言う。
これは「チャンス」アプローチです-打撃でしょうか? Bug Bountyは、ハッカーが脆弱性を発見するインセンティブであるだけでなく、情報セキュリティポリシー管理ツールでもあります。 たとえば、私の実践では、バグバウンティプログラムを開くという決定は、ブラックハッカーを脅迫して強要しようとする大きな反撃でした。
2.そして、もしハッカーが見つけた脆弱性を私たちに送らず、それを悪い目的に使うなら ?
-ハッカーには常に選択肢があります。脆弱性について報告するかしないかです。 彼は公式に受け取ることができる金額を知っています。 脆弱性の助けを借りて、何百万ドルなど、何倍も「稼ぐ」ことができたらどうでしょうか? 結局のところ、脆弱性を見つけるという事実を隠し、後で匿名デバイスからブラックハットハッカーのように振る舞うことができますか?
これは、偽装を隠すか、避けられない(可能性のある)を遅らせる試みです。 見つからない場合、および更新(更新)後にそれ自体が「解決」する場合はどうなりますか? 脆弱性を販売または「実現」するには、運用、通信、キャッシングと匿名性の知識、および準備を計画するのに時間がかかります。 また、他のハッカー(バグハンター)との競争のコンテキストでは、より倫理的なハッカーに対する法的報酬を失う可能性があります。
3.私たちにはたくさんの(アップデート)があり、多くのソフトウェアアップデートがあります。新しい機能を追加する予定です。
-なぜテストするのか、機能を追加するだけでなく、更新(更新)する可能性が最も高いという事実。 脆弱性の検索(バグハンティング)は役に立たない作業になります。
これは永遠の修理または永遠の建設であり、その段階ですべてのスタートアップが配置されます。 これがMVP(製品のベータ版)ではなく、製品が既に販売されている場合、お金はマーケティングに費やされています-その製品は既にハッカーにとって価値があります。 しかし、ハッカーはスタートアップの意思決定のロジックも理解しています。これは、多くの場合、最も簡単な方法です。 なぜお金はマーケティングに費やされますが、セキュリティには費やされないのですか?
そして、白人のハッカーと会社の間のコミュニケーションのルールは何ですか?
最終的に、ハッカー自身がどこの会社でも報酬プログラムを「オープン」します。 また、組織の従業員が脆弱性を開示する規則に違反した場合、2つの結果があり、両方とも否定的です。求職者の刑務所または会社の恥です。 多くの例があります。
最も最近明らかになったのは(最近)-#FuckResponsibleDisclosureと呼ばれる一連の公開された啓示です。 ハクティビストは、組織の無関心で「無関心」な反応に非常に悲しみ、残りの唯一の解決策に頼りました。すべての人に危険について公に警告し、見つかった脆弱性に関する完全な情報を漏らしました。
Responsible Vulnerability Disclosureの後の会社側の義務違反は、それに応じてハッカーに違反する権利を伴うことができますか?
この質問への答えは、調整された脆弱性開示ルールです。 しかし、ベンダーがこのプロセスへの参加を拒否した場合、脆弱性の開示を調整する権利は誰にありますか?
バグハンティングの一般的な真実を思い出してみましょう 。
白いハッカーには権利があります:
- 兆候を検出するときに脆弱性を識別するプロセスを開始します。
- 脆弱性情報を社内の担当者に転送する
権利を持っていません:
- 脆弱性を特定するプロセスで修復不可能な損傷を引き起こすため。
- サードパーティに脆弱性を開示します。
さらに:
- 営利企業に志願し、彼らが無料でセキュリティを改善するのを助ける義務はありません。
- 脆弱性を明らかにする前にお金を要求したり条件を設定したりすることは恐blackです。
- 脆弱性を開示する前に現金報酬を要求することは、倫理的でもホワイトハットハッキングでもありません
白いハッカーを止めることはできません。 発見した脆弱性に関する技術サポート情報を送信します。 辛抱強く答えを待って説明してください。 脆弱性の存在の証拠(概念実証)とビデオのスクリーンショットを送信します。 暗黙のうちに脆弱性の開示の原則(責任ある開示)を遵守し、組織に連絡する危険性について全員に警告する脆弱性を公開します。