SecurityWorldMarket

06.07.2017

Det er ikke bare selskaper i IT-bransjen som velger «hackerdrevet» sikkerhet

Stadig flere virksomheter i mer tradisjonelle næringer etablerer dusørordninger for å bli varslet om sårbarheter.

Da det amerikanske forsvarsdepartementet, DoD, i november i fjor for første gang etablerte en dusørordning for rapporter av sårbarheter i de ulike nettstedene til U.S. Army, skal det bare ha tatt fem minutter før den første rapporten kom. Dette til tross for at departementet opplyser at det prioriterer IT-sikkerhet høyt. I løpet av den første måneden kom det inn 416 rapporter om til sammen cirka 120 forskjellige sårbarheter.

Blant annet greide en av deltakerne å komme seg fra et offentlig tilgjengelig nettsted og videre inn på et internt nettsted, hvor det egentlig skulle kreves spesielle innloggingsakkreditiver for å få tilgang.

Selv om mange sårbarheter kan oppdages ved automatiserte verktøy som utnytter teknikker som fuzzing, viser det seg hele tiden at menneskelig innsats er helt avgjørende. For å finne sårbarhetene før de ondsinnede angriperne oppdager dem, trenger man tilgang på de samme kunnskapene som det «black hat»-ene har opparbeidet seg.

I mer enn 35 år

DoD er på ingen måte først ute med å tilby dusør for sårbarheter. Netscape gjorde dette allerede i 1995, men det muligens aller første tilfellet var i 1983, da selskapet Hunter & Ready lovet en Folkevogn til dem som kunne finne en sårbarhet i sanntidsoperativsystemet VRTX.

Mens enkelte virksomheter politianmelder dem som varsler dem om sårbarheter som de har funnet i virksomhetens infrastruktur, er mange andre glade for å bli gjort kjent med sårbarhetene. Og en del har altså egne ordninger som oppmuntrer alle interesserte til å lete etter sårbarheter, så lenge de ikke gjør skade og melder om sårbarhetene på en ansvarlig måte.

HackerOne er et selskap etablert av tidligere sikkerhetsledere fra Facebook, Google og Microsoft. Med seg har de blant annet Chris Evans som også etablerte Googles Project Zero, og Mårten Mickos, som ledet MySQL fram til selskapet ble kjøpt av Sun i 2008.

For kort tid siden kom HackerOne med en rapport som blant annet tar for seg data fra de drøyt 800 dusørordningene som selskapet selv tilbyr på vegne av kunder. Det dreier seg altså ikke om noen uavhengig rapport.

Ifølge Wikipedia har HackerOne kunder som Twitter, Slack, Adobe, Yahoo, LinkedIn, GitHub, Airbnb, Lufthansa, Snapchat, Qualcomm, General Motors, YouPorn, Panasonic Avionics, Shopify, Uber, Yelp og Nintendo.

HackerOne kaller dette for hackerdrevet sikkerhet.

Siden oppstartet i 2012 skal selskapene ha kunnet lukke nær 50 000 sårbarheter som har blitt varslet gjennom dusørordningene som HackerOne arrangerer.

Ikke bare IT-industrien

I de senere år har selskaper som Google, Microsoft og Facebook fått mye oppmerksomhet for slike ordninger. Men blant dusørprogrammene som ble etablert i fjor, tilhørte 41 prosent virksomheter i helt andre bransjer enn IT-bransjen. Globalt har både offentlige myndigheter, selskaper innen medie- og underholdningsbransjen, finans- og bankvirksomheter, samt nettbutikker, etablert slike ordninger i fjor.

Selv om DoD veldig raskt fikk vist resultater da departementets dusørprogram ble lansert i fjor, er det ikke uvanlig at det tar kort tid før de første rapportene kommer. Ifølge HackerOne hadde 77 prosent av alle dusørprogrammene i undersøkelsen mottatt den første rapporten allerede før det hadde gått 24 timer.

Dusørene som utbetales, har hos en del aktører blitt betydelig høyere med årene. Dette henger sammen med at det blir stadig vanskeligere å finne sårbarheter i programvaren til aktører som har hatt slike programmer i flere år.

Annonse for det som kanskje var den første offentlige dusørordningen for programvaresårbarheter.

Annonse for det som kanskje var den første offentlige dusørordningen for programvaresårbarheter. Bilde: Faksimile fra HackerOne-rapport

I omtrent 60 prosent av ordningene som omtales i rapporten, belønnes rapporter om kritiske sårbarheter med i gjennomsnitt tusen dollar. Men det finnes ordninger som i spesielle tilfeller lover så mye som 100 000 dollar for det som anses å være ekstremt krevende sikkerhetsomgåelser.

Dusørordningene kan fort koste en del penger, både i form av dusører og for å administrere og følge opp det hele – i alle fall dersom det oppdages mange sårbarheter.

Men alternativet for mange kan være at verdifulle eller fortrolige data kommer på avveie, noe som ikke bare vil kunne føre til at man må rette problemene umiddelbart – uavhengig av annen drift – men også til omdømmesvikt, noe som kan bli langt mer kostbart.

Dessuten kan aktører med virksomhet i EU/EØS få betydelige gebyr dersom det skjer uautorisert utlevering av personopplysninger fra systemer de er behandlingsansvarlige for, etter at personvernforordningen GPRS trer i kraft i mai 2018. Slapp IT-sikkerhet vil i alle fall ikke bidra til lavere gebyrer.

- Kilde: digi.no


Bedriftsnyheter

AI, IoT og andre trender som kan bidra til økt trygghet i samfunnet

Danmarks største sikkerhetsmesse, Security User Expo, byr virkelig på enestående muligheter for å få et godt innblikk i sikkerhetsmarkedets tilbud – både fra et dansk nasjonalt og internasjonalt perspektiv. Security User Expo i København finner sted den 27-28 september.

Terrortrusler, videoanalyse, cybersikkerhet og IoT er temaer for minikonferansene. Smarte løsninger til større fysisk sikkerhet dominerer messen.

Bedriftsnyheter

Martin Gren mener at cybersikkerhet kan være en utmerket mulighet for bransjen om den tas på alvor og at sluttkundene forstår farene.

Cybertrusler bekymrer produsenter av produkter innen fysisk sikkerhet

Både bevisstheten og uroen for cybersikkerhet har økt kraftig. Uroen gjelder også hos sikkerhetsindustriens produsenter. Den konklusjonen drar fagbladet Detektor i sitt første høstnummer (4/2017) etter å ha intervjuet ledende representanter for flere av de globale produsentene for å høre hvordan de stiller seg til problemet.

– Hver lenke har betydning for cybersikkerheten, fra sluttkunder til installatører og produsenter, sier Jiaqi Gao hos Dahua.

Bedriftsnyheter

Safe4´s samarbeidspartner, Secits, inngår avtale med Elajo El & energiteknik

Safe4s samarbeidspartner, SECITS, inngår en betydelig avtale for IT baserte sikkerhetstjenester med et av Sveriges ledende selskaper innen el-, mekanikk- og energi, Elajos El & Energiteknik.  Avtalen er verdsatt til ca. 6 millioner kroner per år, og innebærer att SECITS vil levere kameraløsninger og sikker datakommunikasjon til Elajos kunder. Inkludert i avtalen er alarmstasjonstjenester hvor Safe4s alarmoperatører mottar og behandler innbrudds- og brannalarmsignaler.

Produktnyheter

BVMS 7.5 Viewer er en ny variant rettet mot små og mellomstore applikasjoner

Gratis Video Management System for små og mellomstore bedrifter

Med Bosch Video Management System (BVMS) 7.5 har Bosch utvidet sitt sortiment innen VMS. BVMS 7.5 Viewer er en ny variant som er rettet mot små og mellomstore applikasjoner. Denne kostnadsfrie inngangsversjonen av Boschs eksisterende management system gjør det mulig for småbedrifter å vise flere live-videostrømmer fra sine overvåkingskamera i høy oppløsning. Det gjør det også mulig å spille av innspilt video samt å utføre avanserte søkninger på innspilt material.

Leverandører
Tilbake til toppen