SecurityWorldMarket

06.07.2017

Det er ikke bare selskaper i IT-bransjen som velger «hackerdrevet» sikkerhet

Stadig flere virksomheter i mer tradisjonelle næringer etablerer dusørordninger for å bli varslet om sårbarheter.

Da det amerikanske forsvarsdepartementet, DoD, i november i fjor for første gang etablerte en dusørordning for rapporter av sårbarheter i de ulike nettstedene til U.S. Army, skal det bare ha tatt fem minutter før den første rapporten kom. Dette til tross for at departementet opplyser at det prioriterer IT-sikkerhet høyt. I løpet av den første måneden kom det inn 416 rapporter om til sammen cirka 120 forskjellige sårbarheter.

Blant annet greide en av deltakerne å komme seg fra et offentlig tilgjengelig nettsted og videre inn på et internt nettsted, hvor det egentlig skulle kreves spesielle innloggingsakkreditiver for å få tilgang.

Selv om mange sårbarheter kan oppdages ved automatiserte verktøy som utnytter teknikker som fuzzing, viser det seg hele tiden at menneskelig innsats er helt avgjørende. For å finne sårbarhetene før de ondsinnede angriperne oppdager dem, trenger man tilgang på de samme kunnskapene som det «black hat»-ene har opparbeidet seg.

I mer enn 35 år

DoD er på ingen måte først ute med å tilby dusør for sårbarheter. Netscape gjorde dette allerede i 1995, men det muligens aller første tilfellet var i 1983, da selskapet Hunter & Ready lovet en Folkevogn til dem som kunne finne en sårbarhet i sanntidsoperativsystemet VRTX.

Mens enkelte virksomheter politianmelder dem som varsler dem om sårbarheter som de har funnet i virksomhetens infrastruktur, er mange andre glade for å bli gjort kjent med sårbarhetene. Og en del har altså egne ordninger som oppmuntrer alle interesserte til å lete etter sårbarheter, så lenge de ikke gjør skade og melder om sårbarhetene på en ansvarlig måte.

HackerOne er et selskap etablert av tidligere sikkerhetsledere fra Facebook, Google og Microsoft. Med seg har de blant annet Chris Evans som også etablerte Googles Project Zero, og Mårten Mickos, som ledet MySQL fram til selskapet ble kjøpt av Sun i 2008.

For kort tid siden kom HackerOne med en rapport som blant annet tar for seg data fra de drøyt 800 dusørordningene som selskapet selv tilbyr på vegne av kunder. Det dreier seg altså ikke om noen uavhengig rapport.

Ifølge Wikipedia har HackerOne kunder som Twitter, Slack, Adobe, Yahoo, LinkedIn, GitHub, Airbnb, Lufthansa, Snapchat, Qualcomm, General Motors, YouPorn, Panasonic Avionics, Shopify, Uber, Yelp og Nintendo.

HackerOne kaller dette for hackerdrevet sikkerhet.

Siden oppstartet i 2012 skal selskapene ha kunnet lukke nær 50 000 sårbarheter som har blitt varslet gjennom dusørordningene som HackerOne arrangerer.

Ikke bare IT-industrien

I de senere år har selskaper som Google, Microsoft og Facebook fått mye oppmerksomhet for slike ordninger. Men blant dusørprogrammene som ble etablert i fjor, tilhørte 41 prosent virksomheter i helt andre bransjer enn IT-bransjen. Globalt har både offentlige myndigheter, selskaper innen medie- og underholdningsbransjen, finans- og bankvirksomheter, samt nettbutikker, etablert slike ordninger i fjor.

Selv om DoD veldig raskt fikk vist resultater da departementets dusørprogram ble lansert i fjor, er det ikke uvanlig at det tar kort tid før de første rapportene kommer. Ifølge HackerOne hadde 77 prosent av alle dusørprogrammene i undersøkelsen mottatt den første rapporten allerede før det hadde gått 24 timer.

Dusørene som utbetales, har hos en del aktører blitt betydelig høyere med årene. Dette henger sammen med at det blir stadig vanskeligere å finne sårbarheter i programvaren til aktører som har hatt slike programmer i flere år.

Annonse for det som kanskje var den første offentlige dusørordningen for programvaresårbarheter.

Annonse for det som kanskje var den første offentlige dusørordningen for programvaresårbarheter. Bilde: Faksimile fra HackerOne-rapport

I omtrent 60 prosent av ordningene som omtales i rapporten, belønnes rapporter om kritiske sårbarheter med i gjennomsnitt tusen dollar. Men det finnes ordninger som i spesielle tilfeller lover så mye som 100 000 dollar for det som anses å være ekstremt krevende sikkerhetsomgåelser.

Dusørordningene kan fort koste en del penger, både i form av dusører og for å administrere og følge opp det hele – i alle fall dersom det oppdages mange sårbarheter.

Men alternativet for mange kan være at verdifulle eller fortrolige data kommer på avveie, noe som ikke bare vil kunne føre til at man må rette problemene umiddelbart – uavhengig av annen drift – men også til omdømmesvikt, noe som kan bli langt mer kostbart.

Dessuten kan aktører med virksomhet i EU/EØS få betydelige gebyr dersom det skjer uautorisert utlevering av personopplysninger fra systemer de er behandlingsansvarlige for, etter at personvernforordningen GPRS trer i kraft i mai 2018. Slapp IT-sikkerhet vil i alle fall ikke bidra til lavere gebyrer.

- Kilde: digi.no


Leverandører
Tilbake til toppen