Det er de problemer, der forårsager hovedpine for bug-dusørjægere

0
167

Charlie OsborneSkrevet af Charlie Osborne, Bidragyder Charlie Osborne Charlie Osborne Bidragyder

Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.

Fuld biografi udgivet i Zero Day den 4. marts 2022 | Emne: Sikkerhed

Bug bounty-programmer er blevet en uvurderlig kanal til afsløring og afhjælpning af sårbarheder, men som enhver industri kommer de med deres eget sæt problemer.

Bug bounty-platforme, såsom dem, der drives af HackerOne og Bugcrowd, samarbejder med individuelle virksomheder om at lancere og administrere programmer, hvor eksterne forskere kan rapportere sårbarheder i software og onlinetjenester.

Det var engang almindelig praksis, at sårbarhedsrapporter blev lavet stykkevis; det kan have været gennem en generisk e-mail eller telefonisk, og nogle organisationer ville blive skræmt af fejlrapporter eller ville reagere negativt.

Dette er stadig tilfældet i nogle kredse, hvor frygt, mangel på bekymring eller mangel på uddannelse kan forårsage modreaktioner. E-mails sendt til DK-Lok af ZDNet, der advarede dem om en usikret server, blev simpelthen sendt til skraldespanden (kan ses, da serveren var åben), og Coalfire-forskere blev anholdt af amerikansk retshåndhævelse, mens de udførte en penetrationstest, som retssystemet havde anmodet om.

Derudover, hvem kunne glemme Missouris guvernør Mike Parson, der stemplede en journalist som en “hacker” for at se hjemmesidens HTML og rapportere et alvorligt databrud, der påvirker statens undervisere.

Officielle bug bounty-programmer kan strømline processen, i det mindste, når det kommer til typisk afsløring af sårbarheder. Men som delt af White Oak Security Staff Specialist Brett DeWall, er der efter hans mening almindelige problemer, som nye bugjægere bør være opmærksomme på.

Kommunikation

Mens penetrationstestere hos virksomheden forsøger at afsløre fejl, anses en hyppig mangel på kommunikation som en “tidskrævende proces.” Hvis organisationen ikke har et etableret bug bounty-projekt, kan forskere finde på at prøve flere kanaler lige fra LinkedIn og sociale medier til generiske e-mailadresser og salgskanaler.

Hvis en leverandør ikke har ansvarlige oplysningsinstruktioner på deres hjemmeside, kan det være endnu vanskeligere at åbne en indledende kommunikationslinje.

“I dag er virksomheder ikke altid modtagelige for at modtage nyheder om sikkerhedsproblemer med deres produkter eller tilbud,” siger DeWall. “Det meste af kommunikationen resulterer i radio SILENCE… Dette kan være frustrerende fra en forskerstandpunkt, der forsøger at videresende følsom information i den mest foretrukne metode som muligt. Den største takeaway her er at blive ved med at prøve.”

Omfang

“In scope” og “out of scope”-fejl er almindelige træk ved afsløringsprocesser. For eksempel vil organisationer måske gerne vide om Remote Code Execution (RCE) sårbarheder, men vil ikke overveje problemer, der kan være mindre alvorlige – på trods af deres udnyttelsesevne eller virkninger fra den virkelige verden – såsom usikrede servere, Server-Side Request Forgery (SSRF) eller Usikre Direct Object Reference (IDOR) sårbarheder.

DeWall siger, at White Oak er stødt på “flere” eksempler på dette, når SSRF/IDOR-fejl er 'udenfor scope', og indsendelser derfor ikke accepteres. Dette kan være af mange årsager, såsom et begrænset antal medarbejdere, der er i stand til at verificere rapporter, og den tid, der kræves til at tackle fejl.

DeWall kommenterede:

“Organisationen har muligvis ikke de økonomiske ressourcer til at betale de dusører eller det antal medarbejdere, der kræves for at følge med i valideringsindsatsen. Hvis der opdages en højrisikofejl, der er “uden for rammerne”, kan den ikke længere udnyttes? vil stadig kraftigt opfordre organisationer, der har bug-bounty-programmer, til at acceptere (eller give en kontaktformular) for alle indsendelser, der er “uden for scope.”

Anerkendelse

Ifølge DeWall er en af ​​de “største” frustrationer i afsløring af sårbarhed ikke at modtage nogen kredit for at finde og ansvarligt rapportere en fejl.

Mens forskere ønsker at blive anerkendt for deres arbejde og måske ønsker at være i stand til at liste deres resultater som en del af deres portefølje, på bagsiden, ønsker organisationer ikke, at sikkerhedsfejl fundet i deres produkter være offentlig.

Hvis du vil opmuntre forskere til at bruge deres tid på at forbedre sikkerheden af ​​dine produkter, kan en Hall of Fame – som ikke behøver at afsløre de tekniske aspekter af sårbarheder – være vejen frem som et retfærdigt kompromis.

“Bugs dusørjagt eller sikkerhedsforskning er kommet for at blive og stopper aldrig snart (eller nogensinde),” bemærkede forskeren. “Men måden, vi håndterer det på, kan ændre sig – forskerne og organisationerne skal arbejde sammen.”

HackerOne har sammensat en e-bog med tips til dem, der er interesserede i at blive involveret i bug dusørjagt.

Tidligere og relateret dækning

HackerOne udvider Internet Bug Bounty-projektet for at tackle open source-fejl
Intel udvider Bug Bounty-programmet med 'Project Circuit Breaker'-indsats
Coinbase udbetaler største bug-bounty nogensinde for handelsgrænsefladefejl

Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0

Security TV | Datastyring | CXO | Datacentre