Na to, čo je to bug bounty program, ako funguje a aké sú v súčasnosti trendy, sa Petr Smolník, šéfredaktor AVERIA.NEWS, opýtal Pavla Luptáka, spoluzakladateľa spoločnosti Hacktrophy a CEO spoločnosti Nethemba.
Dobrý deň, Pavel, povedzte nám v širšom kontexte čo je to bug bounty program, prosím. Kedy a kde vznikol a aká je jeho úloha v dnešnom svete?
Bug bounty program je komunitná platforma, ktorá spája zákazníkov alebo majiteľov webových alebo mobilných aplikácií (alebo iných systémov) a hackerov vrátane tradičných bezpečnostných testerov – tzv. etických hackerov – ktorí vyhľadávajú a nahlasujú bezpečnostné chyby nájdené v týchto aplikáciách. Program Hacktrophy potom definuje jasné pravidlá spolupráce pre obe strany. Ak takzvaný etický hacker dodrží všetky pravidlá a nájde a nahlási bezpečnostnú zraniteľnosť, zákazník mu za tento nález vyplatí vopred stanovenú odmenu.
Prevádzkovateľ platformy bug bounty je zvyčajne zodpovedný za overenie platnosti nálezu, či ide naozaj o skutočnú zraniteľnosť alebo nie. Zároveň sprostredkúva a uľahčuje komunikáciu medzi technickým hackerom a (netechnickým) zákazníkom.
Prvý program bug bounty vznikol v roku 1983 v USA a týkal sa nahlasovania problémov s vozidlom Volkswagen Beetle.
V súčasnosti existuje viacero prevádzkovateľov programov bug bounty na celom svete a patria medzi kľúčové prvky, ktoré pomáhajú pri testovaní bezpečnosti a zlepšovaní bezpečnosti aplikácií a sietí. Bežne sa tieto služby využívajú najmä v Severnej Amerike a západnej časti EÚ.
Ako je to dnes s nasadením týchto programov v EÚ a konkrétne v Českej republike a na Slovensku? Koľko spoločností tieto programy využíva?
V EÚ sa program bug bounty bežne využíva najmä na západných trhoch. Podobne ako v prípade iných procesov a služieb sa najprv rozvíjal tam. Neskôr prichádza “na východ”. Spoločnosti sa tieto programy učia využívať postupne. Tieto programy sa vyvinuli z informácií obchodných spoločností na ich vlastných webových stránkach pre zákazníkov, kde ich vyzývali, aby nahlásili chybu, ktorá sa vyskytla pri používaní systému alebo tovaru. Dnes má podobnú výzvu na svojich webových stránkach čoraz viac spoločností. Žiadajú o nahlásenie nájdenej “zraniteľnosti” napríklad prostredníctvom e-mailu ako je “security@…”.
Väčšinou túto výzvu vidia len zákazníci, ale spoluprácu s platformou na bug bounty to dosť rozvíja. Zverejnený projekt sa tak môže dostať nielen k zákazníkom, ale aj k väčšiemu počtu etických hackerov.
V Českej republike a na Slovensku už existujú spoločnosti, ktoré s bug bounty pracujú. Nie je ich veľa, skôr málo, ale potreby a požiadavky rastúcej klientely sa zvyšujú.
Aká je blízka budúcnosť v oblasti kybernetickej bezpečnosti a aké sú možnosti firiem využívať tieto programy?
Osobne vidím najväčší posun v umelej inteligencii, ktorá už dnes dokáže hľadať sofistikované bezpečnostné chyby priamo v zdrojovom kóde (napríklad v tzv. inteligentných kontraktoch). Dokáže tiež písať vlastný malvér alebo exploity. Niečo, čo sme si ešte pred pár rokmi nevedeli predstaviť.
Samozrejme, stále je to v plienkach a skutoční testeri a etickí hackeri na platformách bug bounty sú stále nenahraditeľní. Motivovaní odmenami poskytujú služby veľkého počtu bezpečnostných testerov.
Nutnosť využívať bug bounty program je už uvedená v bezpečnostnej politike mnohých firiem v západnej EÚ, a tak sa to stáva požiadavkou aj v Českej republike a na Slovensku. Výhodu bug bounty začínajú vnímať a určite ju začnú využívať aj spoločnosti v strednej EÚ pre svoju vlastnú bezpečnosť.
Využívanie služieb hackera za reálne akceptovanú odmenu, ktorú si firma sama definuje, je skvelý nápad a boj proti skutočnému “hackerstvu” zo strany tzv. black hat hackera. Využívanie zraniteľností alebo ich zverejňovanie na “dark webe” môže spôsobiť značné problémy. Od hacknutia, krádeže, spôsobenia nejakej poruchy až po veľké finančné náklady spojené s opravou systémov a nesplnenie prípadných zákonných požiadaviek. Významná môže byť aj strata dôvery zákazníkov a partnerov.
Penetračné testovanie je skvelé pred spustením systému do prevádzky. Program bug bounty je zase skvelou možnosťou, ako udržať bezpečnosť počas prevádzky.
A o to ide!
