Rozhovor: Co je bug bounty program?

Hacktrophy bug bounty

Na to, co je bug bounty program, jak to funguje a jaké jsou trendy v dnešní době, se zeptal Petr Smolník, šéfredaktor vydavatelství AVERIA.NEWS, Pavla Luptáka, spoluzakladatele Hacktrophy a CEO Nethemba.

Dobrý den Pavle, řekněte nám prosím, co je to program „bug bounty“ v nějakém širším kontextu. Kdy a kde vznikl a jaká je jeho úloha v dnešním světě?

Pavol Lupták, spoluzakladatel Hacktrophy a CEO NethembaProgram bug bounty představuje komunitní platformu, která propojuje zákazníky nebo majitele webových či mobilních aplikací (případně jiných systémů), a hackery, včetně klasických bezpečnostní testerů – tzv. etických hackerů, kteří v těchto aplikacích hledají a nahlašují nalezené bezpečnostní zranitelnosti. Program Hacktrophy pak pro obě strany definuje jasná pravidla spolupráce. Pokud tzv. etický hacker dodrží všechna daná pravidla, najde a nahlásí nalezenou bezpečnostní zranitelnost, zákazník mu za tento nález zaplatí v projektu předem definovanou odměnu.

Provozovatel platformy bug bounty je obvykle odpovědný za ověření validity nálezu, zda jde o skutečně reálnou zranitelnost nebo ne. A také zprostředkovává a napomáhá komunikaci mezi technicky založeným hackerem a (netechnickým) zákazníkem.

První program typu bug bounty vznikl v roce 1983 v USA a týkal se nahlašování problémů u vozu Volkswagen Beetle.

Na celém světě dnes existuje více provozovatelů programů bug bounty programů a patří mezi klíčové elementy pomáhající v bezpečnostním testování a zvyšování aplikační a síťové bezpečnosti. Běžně jsou tyto služby využívány hlavně v Severní Americe a v západní části EU.

Jak je to dnes se zaváděním těchto programů v EU a konkrétně v ČR a SR? Kolik společností těchto programů využívá?

V EU se běžně využívá program bug bounty hlavně na západních trzích. Tak jako při jiných procesech a službách se nejdříve rozvíjel tam. Později pak přichází „na východ“. Využívání takovýchto programů se společnosti učí postupně. Vyvíjejí se od informací obchodních společností na vlastní webové stránce pro zákazníky určené k nahlášení chyby, která se vyskytla při používání systému nebo zboží, a dnes má na svých stránkách takovouto výzvu čím dál více firem. Žádají o nahlášení nalezené „zranitelnosti“ například prostřednictvím e-mailu typu „security@…“

Většinou toto vidí jen zákazníci, ale spolupráci s platformou bug bounty to dost rozvíjí. Zveřejněný projekt pak může oslovit nejen zákazníky, ale i větší počet etických hackerů.

V Česku a na Slovensku již existují společnosti spolupracující s bug bounty. Není jich mnoho, spíše málo, ale potřeby a požadavky přibývající klientely se zvyšují.

Co nás čeká v nejbližší budoucnosti z pohledu kyberbezpečnosti a jaké jsou možnosti firem tyto programy využívat?

Osobně největší posun vnímám v umělé inteligenci, která už dokáže hledat sofistikované bezpečnostní zranitelnosti přímo ve zdrojových kódech (například v tzv. smart kontraktech). Dokáže psát i vlastní malware nebo exploity. Něco, co jsme si ještě před pár roky nedokázali představit.

Hacktrophy logoSamozřejmě stále je to v plenkách a reální testeři a etičtí hackeři na platformách bug bounty jsou zatím nenahraditelní. Motivovaní odměnami dodávají služby velkého počtu bezpečnostních testerů.

Nutnost využívat program bug bounty je už uvedena v bezpečnostní politice řady společností na západě EU a tím pádem se toto dostává jako povinnost také do Česka a na Slovensko. Výhoda bug bounty se začíná vnímat a určitě začne být využívaná pro vlastní bezpečnost i u firem v centrální EU.

Využít služeb hackera za reálně akceptovanou odměnu, kterou si společnost sama definuje, je skvělá myšlenka a boj proti skutečnému „hacknutí“ tzv. black hat hackerem. Zneužití zranitelností nebo jejich zveřejnění na „dark webu“ může způsobit značné problémy. Od napadení, zcizení, způsobení nějaké nefunkčnosti, až po velké finanční náklady spojené s opravami systémů a nesplnění případných zákonných požadavků. Nezanedbatelná může být také ztráta důvěry zákazníků a partnerů.

Penetrační testování je skvělé před spuštěním systému. Program bug bounty je zase skvělá možnost udržovat bezpečnost během provozu.

A o to jde!