Je možné nevystavovať sa hackerom?

Hacktrophy hacker

Pomerne častou brzdou zavedenia bug bounty programu je rozhodnutie manažmentu o tom, že sa nechcú vystavovať “svetu hackerov”. Podľa ich názoru, ak o nich hackeri vedia, je vyššia šanca, že ich napadnú.

Hovoria si, že sú len malá bezvýznamná firma o ktorej nikto nevie a preto ich hackeri nenájdu. To je však nepresné z viacerých dôvodov.

Ak o vás nikto nevie, máte zlý marketing

Juraj Bednár Hacktrophy
Juraj Bednár, spoluzakladateľ Hacktrophy

Máloktorá firma chce, aby o nej nikto nevedel. Spôsob, ktorým sa o vás dozvie váš zákazník je rovnaký ako spôsob, akým sa o vás môže dozvedieť ľubovoľný útočník. Marketingové oddelenie vašej firmy chce, aby o vás vedelo čo najviac potenciálnych zákazníkov – aby vás ľahko našli a prípadne si kúpili vaše produkty alebo služby. A presne toto je jeden zo spôsobov, akým sa o vás môže dozvedieť hacker.

Neetickí hackeri vás nájdu aj pomocou robota – automatizovane

Etickí hackeri hľadajú ciele tak, že sa pozerajú, kto im za nájdenie bezpečnostnej zraniteľnosti alebo penetračný test zaplatí – napríklad sa prihlásia do Hacktrophy a pozrú sa, ktoré firmy ponúkajú odmenu za nájdenie zraniteľnosti.

Neetickí hackeri hľadajú svoje ciele väčšinou automatizovane, podobným spôsobom ako sa dostanete do indexu vyhľadávača ako napríklad Google. Robot prechádza internet, nasleduje linky a pripája sa na rôzne IP adresy a snaží sa odhaliť nezabezpečený systém alebo potenciálny cieľ. Pre neetických hackerov je dokonca rozumné nepozerať sa na Hacktrophy logozoznamy bug bounty platforiem ako Hacktrophy, pretože u nich je jasné, že sa na ne pozerali už etickí hackeri, ktorí chceli zarobiť odmenu – preto je pre nich rozumnejšie pozerať sa inde, kde nájdu ľahší cieľ.

Etickí a neetickí hackeri môžu používať podobné techniky na hľadanie bezpečnostných zraniteľností, ale svoje ciele si vyberajú inak. Etickí hackeri sú viazaní zmluvnými podmienkami a etickou možnosťou zárobku. Neetickí hackeri skúšajú všetky ciele, ktoré by mohli byť úspešné.

Záver

Motivovanie etických hackerov, aby pracovali pre vás nijak negatívne neovplyvní množstvo útokov na vašu aplikáciu od neetických hackerov. Postupy, ktoré volia etickí a neetickí hackeri pri vyberaní cieľov sú rôzne. Zapojte sa teda do platformy Hacktrophy, v ktorej vám bezpečnosť pomôžu zlepšiť etickí hackeri.

Autorom článku je Juraj Bednár, spoluzakladateľ Hacktrophy