Przez lata znajdowanie błędów w popularnym oprogramowaniu, aplikacjach i usługach online stało się całkiem lukratywnym biznesem dla przedsiębiorczych hakerów. W rzeczywistości niektórzy z tych hakerów i badaczy bezpieczeństwa stali się nawet milionerami dzięki programom nagród za błędy. Oprócz zarabiania na odkrywaniu luk w zabezpieczeniach, jego praca pomaga niektórym z największych firm na świecie poprawiać bezpieczeństwo ich produktów, aby lepiej chronić swoich użytkowników. Platforma nagród za błędy HackerOne łączy te firmy z etycznymi hakerami z całego świata. Aby dowiedzieć się więcej o początkach firmy i różnych błędach odkrytych przez jej społeczność na przestrzeni lat, TechRadar Pro rozmawiał z HackerOne CTO Alexem Rice.
![HackerOne Early Days]()
(Źródło zdjęcia: MSNBC)
Co doprowadziło do powstania HackerOne w 2012 roku?
Organizacje wszystkich kształtów i rozmiarów korzystają teraz z zabezpieczeń przed hakerami, ale nie zawsze tak było. Przed HackerOne był odpowiedzialny za bezpieczeństwo produktów na Facebooku. Jedną z najskuteczniejszych rzeczy, jakie zrobiliśmy, było powiedzenie hakerom: „Chcemy twojej pomocy. Znajdź błąd, znajdź lukę w zabezpieczeniach, daj nam znać, a my cię nagrodzimy”. W ramach programu wydano ponad 10 milionów euro i poprawiono bezpieczeństwo produktów bardziej, niż ktokolwiek mógł sobie wyobrazić. Szybko do przodu, a HackerOne to odnosząca największe sukcesy na świecie platforma bezpieczeństwa oparta na hakerach. Ponad 2.000 organizacji dołączyło do społeczności hakerów, aby odkryć ponad 181.000 100 zweryfikowanych luk w zabezpieczeniach. Ci hakerzy otrzymali ponad XNUMX milionów dolarów za uczynienie Internetu bezpieczniejszym miejscem.
W jaki sposób twoje doświadczenie jako inżyniera bezpieczeństwa i badacza wpłynęło na pracę, którą wykonujesz dzisiaj jako CTO HackerOne?
W HackerOne jestem odpowiedzialny za rozwój naszej wizji technologicznej, kierowanie pracami inżynierskimi i doradzanie klientom w tworzeniu światowej klasy programów bezpieczeństwa. Kieruje mną przede wszystkim przekonanie, że technologia może poprawić nasze życie. Jednak podstawowe wyzwania związane z bezpieczeństwem i prywatnością często nas powstrzymują. Potrzebujemy niezawodnej technologii, a moje doświadczenie jako indywidualnego badacza nauczyło mnie, że nigdy nie zrobimy tego sami. Potrzebujemy milionów z nas do wspólnej pracy, ujawniania wyciągniętych wniosków i zachęcania każdego z nas do poprawy.
Jak myślisz, jaki wpływ miała Twoja platforma na sposób identyfikowania i zgłaszania luk w zabezpieczeniach?
W HackerOne współpracujemy z globalną społecznością hakerów, aby organizacje były świadome wszelkich problemów związanych z bezpieczeństwem, zanim zostaną one wykorzystane przez przestępców. Niesamowita kreatywność, różnorodność i wytrwałość w tej wyjątkowej społeczności sprawiają, że organizacje są znacznie bezpieczniejsze, niż byłyby same, a ludzie, którzy na nich polegają, są bezpieczni. Oferujemy również naszym klientom różne programy i opcje, zapewniając im najlepsze możliwe wsparcie wtedy, gdy tego potrzebują. Ważne jest, aby firmy nie tylko wiedziały, gdzie leży ryzyko, ale aby można było zarządzać lukami w zabezpieczeniach i je korygować. W HackerOne klienci mogą wybierać spośród wielu dostępnych rozwiązań, od pentestów po publiczne i prywatne nagrody za błędy, a co najważniejsze, programy ujawniające luki w zabezpieczeniach.
![codificación]()
(Źródło zdjęcia: Shutterstock/Gorodenkoff)
Czy możesz powiedzieć nam więcej o bazie danych luk w zabezpieczeniach Twojej firmy i o tym, jak śledzi ona wszystkie błędy zgłaszane przez badaczy bezpieczeństwa?
Utrzymujemy największą i najbardziej zaufaną bazę danych luk w zabezpieczeniach w branży, a nasz program nagród zachęca naszą społeczność hakerów do identyfikowania i przesyłania raportów o lukach we wszystkim, od stron internetowych, interfejsów API, aplikacji mobilnych po urządzenia sprzętowe. oraz coraz bardziej zróżnicowana i szeroka gama powierzchni ataku. . Jeśli chodzi o sposób śledzenia, istnieje jasny proces, którego muszą przestrzegać nasi hakerzy. Po zarejestrowaniu konta HackerOne mogą wyszukać uczestniczący program i rozpocząć hakowanie. Jeśli znajdą lukę, korzystają z katalogu HackerOne, aby znaleźć najlepszy sposób skontaktowania się z organizacją i przesłania raportu. Następnie firma dokona przeglądu treści i nagrodzi ważne wyniki.
Spośród dziesięciu najbardziej wpływowych i nagradzanych typów luk w nowym raporcie HackerOne, które uważasz za największe zagrożenie dla dzisiejszych organizacji i dlaczego?
Luki w zabezpieczeniach związane ze skryptami krzyżowymi (XSS). Już drugi rok z rzędu znalazły się one na szczycie naszej listy, ponieważ nadal stanowią poważne zagrożenie dla aplikacji internetowych, odpowiadając za 18% wszystkich zgłoszonych luk w zabezpieczeniach. Atakujący wykorzystują ataki XSS i przejmują kontrolę nad kontem użytkownika w celu kradzieży danych osobowych, takich jak hasła, numery kont bankowych, dane kart kredytowych itp. Nasi klienci przyznali łącznie ponad 4.2 mln USD premii, co stanowi wzrost o 26% w stosunku do 2019 r. Powszechne luki w zabezpieczeniach, takie jak XSS, są często lekceważone przez miłośników RSSI w pogoni za „zagrożeniem dnia”, ale hakerzy konsekwentnie informują nas, że te przeoczone najlepsze praktyki są kontynuowane być jednym z najskuteczniejszych sposobów kompromitacji danych. personel.
Jakie luki w zabezpieczeniach najbardziej Cię interesują?
Na razie interesuje mnie, co dzieje się z lukami w zabezpieczeniach związanymi z fałszowaniem żądań po stronie serwera (SSRF), które stają się coraz bardziej powszechne w miarę przeprowadzania migracji do chmury. Historycznie rzecz biorąc, błędy SSRF były dość niewielkie, umożliwiając jedynie skanowanie sieci wewnętrznej i czasami dostęp do wewnętrznych paneli administracyjnych. Jednak w dobie szybkiej transformacji cyfrowej pojawienie się architektury chmury i niezabezpieczonych punktów końcowych metadanych sprawiło, że luki te stały się coraz bardziej krytyczne.
![Dos personas trabajando en una computadora portátil]()
(Zdjęcie: Pexels)
Jakiej rady udzieliłbyś firmie, która chce po raz pierwszy wdrożyć program bug bounty?
Raczkowanie, chodzenie, bieganie. Twoja firma nie musi robić skoków na łeb na szyję. Firmy mogą ograniczyć liczbę hakerów uczestniczących w programie prywatnym. Korzystaj z tej możliwości wydawania w kontrolowany sposób, aby mieć pewność, że masz jasne zasady, możliwość skutecznego segregowania i analizowania przyczyn źródłowych oraz że działasz w tempie możliwym do zarządzania dla swoich zespołów programistycznych. Zbyt szybkie działanie często prowadzi do pośpiechu i odroczenia niezbędnych inwestycji w podstawowe praktyki bezpieczeństwa.
W jaki sposób firmy powinny decydować o wycenie wyszukiwania konkretnego błędu w dolarach?
Na początek nie płać za konkretny błąd. Zacznij od programu ujawniania luk w zabezpieczeniach, który po prostu ustanawia proces otrzymywania luk w zabezpieczeniach od zewnętrznych badaczy bez obietnicy nagrody finansowej. Stamtąd zacznij od małego prywatnego programu na niektórych z najbardziej odpornych powierzchni ataku. Nasz zespół może współpracować z Tobą, aby porównać wybraną powierzchnię ataku z naszymi danymi porównawczymi dla podobnych organizacji, aby zyskać początkową uwagę społeczności, zanim zwiększysz nagrody w miarę wzrostu powierzchni. „atak twardnieje. Wartość pieniężna będzie zasadniczo zależeć od wagi błędu; im poważniejsza podatność, tym wyższa nagroda. W naszym ostatnim raporcie bezpieczeństwa opartym na hakerach z 2020 r. stwierdziliśmy, że średnia nagroda za wszystkie luki w zabezpieczeniach, niezależnie od wagi, wyniosła 979 EUR.