Nur ein Hacker kann wie ein Hacker denken. Wenn Sie also „hackersicher“ werden möchten, müssen Sie sich möglicherweise an einen Hacker wenden.
Anwendungssicherheit war schon immer ein heißes Thema, das mit der Zeit immer heißer wurde.
Selbst mit einer Horde von Verteidigungsmitteln und Übung, die uns zur Verfügung stehen (Firewalls, SSL, asymmetrische Kryptographie usw.), kann keine webbasierte Anwendung behaupten, dass sie außerhalb der Reichweite von Hackern sicher ist.
Woran liegt das?
Der einfache Grund ist, dass das Erstellen von Software ein sehr komplexer und spröder Prozess bleibt. Es gibt immer noch Fehler (bekannte und unbekannte) innerhalb der von Entwicklern verwendeten Foundation, und neue werden mit der Einführung neuer Software und Bibliotheken erstellt. Selbst die Top-Tier-Technologieunternehmen sind bereit für gelegentliche Peinlichkeiten, und das aus gutem Grund.
Jetzt einstellen. . . Hacker!
Da Fehler und Schwachstellen wird den Softwarebereich wahrscheinlich nie verlassen, wo bleiben die Unternehmen, die von dieser Software abhängig sind, um zu überleben? Wie kann beispielsweise eine neue Wallet-App sicher sein, dass sie den fiesen Versuchen von Hackern standhält?
Ja, Sie haben es inzwischen erraten: Indem Sie Hacker einstellen, die diese neu geprägte App ausprobieren möchten! Und warum sollten sie? Nur weil es ein ausreichend großes Kopfgeld gibt - das Bug-Kopfgeld! 🙂
Wenn das Wort „Kopfgeld“ Erinnerungen an den Wilden Westen und an Kugeln weckt, die ohne Verzicht abgefeuert werden, ist das genau die Idee hier. Sie bringen die besten und sachkundigsten Hacker (Sicherheitsexperten) dazu, Ihre App auszuloten, und wenn sie etwas finden, werden sie belohnt.
Es gibt zwei Möglichkeiten, dies zu tun: 1) Hosting einer Bug Bounty auf eigene Faust; 2) Verwenden einer Bug Bounty-Plattform.
Bug Bounty: Selbst gehostet gegen Plattformen
Warum sollten Sie sich die Mühe machen, eine Bug-Bounty-Plattform auszuwählen (und zu bezahlen), wenn Sie sie einfach selbst hosten können? Ich meine, erstelle einfach eine Seite mit den relevanten Details und mache ein bisschen Lärm in den sozialen Medien. Es kann natürlich nicht scheitern, oder?
Nun, das ist eine nette Idee, aber betrachten Sie es aus der Perspektive des Hackers. Nach Fehlern zu suchen ist keine leichte Aufgabe, da es mehrere Jahre Training, praktisch grenzenloses Wissen über alte und neue Dinge, jede Menge Entschlossenheit und mehr Kreativität erfordert, als die meisten "visuellen Designer" haben (sorry, dem konnte ich nicht widerstehen! :-P).
Der Hacker weiß nicht, wer Sie sind oder ist sich nicht sicher, ob Sie bezahlen werden. Oder vielleicht ist nicht motiviert. Selbst gehostete Kopfgelder funktionieren für Molochs wie Google, Apple, Facebook usw., deren Namen die Leute mit Stolz in ihr Portfolio aufnehmen können. "In der von XYZ Tech Systems entwickelten HRMS-App wurde eine kritische Anmeldeschwachstelle festgestellt" klingt jetzt nicht beeindruckend (mit der gebührenden Entschuldigung an ein Unternehmen da draußen, das diesem Namen ähneln könnte!).
Dann gibt es noch andere praktische (und überwältigende Gründe), warum man nicht alleine geht, wenn es um Bug Bounties geht.
Mangel an Infrastruktur
Die "Hacker", über die wir gesprochen haben, sind nicht diejenigen, die das Dunkle Web verfolgen.
Diese haben weder Zeit noch Geduld für unsere „zivilisierte“ Welt. Stattdessen sprechen wir hier von Forschern mit Informatikhintergrund, die entweder an einer Universität studieren oder schon lange Kopfgeldjäger sind. Diese Leute wollen und übermitteln Informationen in einem bestimmten Format, was an sich schon gewöhnungsbedürftig ist.
Selbst Ihre besten Entwickler werden Schwierigkeiten haben, Schritt zu halten, und die Opportunitätskosten könnten sich als zu hoch herausstellen.
Einlösen von Einsendungen
Schließlich ist da noch die Beweisfrage. Die Software könnte auf vollständig deterministischen Regeln basieren, aber wann genau eine bestimmte Anforderung erfüllt ist, steht zur Debatte. Nehmen wir ein Beispiel, um dies besser zu verstehen.
Angenommen, Sie haben eine Fehlerprämie für Authentifizierungs- und Autorisierungsfehler erstellt. Das heißt, Sie behaupten, dass Ihr System frei von den Risiken eines Identitätswechsels ist, die die Hacker untergraben müssen.
Jetzt hat der Hacker eine Schwachstelle gefunden, die auf der Funktionsweise eines bestimmten Browsers basiert und es ihm ermöglicht, das Sitzungstoken eines Benutzers zu stehlen und sich als dieser auszugeben.
Ist das ein gültiger Befund?
Aus der Sicht des Hackers ist ein Verstoß definitiv ein Verstoß. Aus Ihrer Sicht vielleicht nicht, weil Sie entweder der Meinung sind, dass dies in die Verantwortung des Benutzers fällt oder dass der Browser für Ihren Zielmarkt einfach nicht von Bedeutung ist.
Wenn all dieses Drama auf einer Bug-Bounty-Plattform stattfinden würde, gäbe es fähige Schiedsrichter, die über die Auswirkungen der Entdeckung entscheiden und das Problem schließen könnten.
Nachdem dies gesagt ist, schauen wir uns einige der beliebten Bug-Bounty-Plattformen an.
YesWeHack
YesWeHack ist eine globale Bug-Bounty-Plattform, die die Offenlegung von Schwachstellen und Crowdsourcing-Sicherheit in vielen Ländern wie Frankreich, Deutschland, der Schweiz und Singapur bietet. Es bietet eine disruptive Lösung von Bug Bounty, um die Bedrohungen zu bekämpfen, die mit der Zunahme der geschäftlichen Agilität zunehmen, bei der traditionelle Tools nicht mehr die Erwartungen erfüllen.
Mit YesWeHack können Sie auf den virtuellen Pool ethischer Hacker zugreifen und die Testfunktionen maximieren. Wählen Sie die gewünschten Jäger aus und senden Sie die zu testenden Zielfernrohre oder teilen Sie sie mit der YesWeHack-Community. Es folgt einigen strengen Vorschriften und Standards, um sowohl die Interessen der Jäger als auch Ihre zu schützen.
Verbessern Sie Ihre App-Sicherheit, indem Sie die Reaktionsfähigkeit des Jägers nutzen und die Zeit bis zur Behebung und Erkennung von Schwachstellen minimieren. Sie werden den Unterschied sehen können, sobald Sie das Programm starten.
Open Bug Bounty
Zahlen Sie zu viel für Bug-Bounty-Programme?
MIT DER INTELLIGENTEN SCHADENKALKULATION VON Öffnen Sie Bug Bounty für Massensicherheitstests.
Dies ist eine Community-gesteuerte, offene, kostenlose und unintermediierte Bug-Bounty-Plattform. Darüber hinaus bietet es eine verantwortungsvolle und koordinierte Offenlegung von Schwachstellen, die mit ISO 29147 kompatibel sind. Bis heute hat es dazu beigetragen, über 641 Schwachstellen zu beheben.
Sicherheitsforscher und Fachleute von führenden Websites wie WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha und anderen haben die Open Bug Bounty-Plattform verwendet, um ihre Sicherheitsprobleme wie XSS-Schwachstellen, SQL-Injektionen, usw. Sie können sehr sachkundige und reaktionsschnelle Fachleute finden, um Ihre Arbeit schnell zu erledigen.
Hackerone
Unter den Bug-Bounty-Programmen ist Hackerone führend, wenn es darum geht, auf Hacker zuzugreifen, Ihre Bounty-Programme zu erstellen, die Nachricht zu verbreiten und die Beiträge zu bewerten.
Es gibt zwei Möglichkeiten, wie Sie Hackerone verwenden können: Verwenden Sie die Plattform, um Schwachstellenberichte zu sammeln und selbst zu erarbeiten, oder lassen Sie die Experten von Hackerone die harte Arbeit erledigen (Triaging). Beim Triaging werden einfach Schwachstellenberichte erstellt, überprüft und mit Hackern kommuniziert.
Hackerone wird von großen Namen wie Google Play, PayPal, GitHub, Starbucks und dergleichen verwendet. Daher ist es natürlich für diejenigen gedacht, die schwerwiegende Fehler und schwerwiegende Probleme haben. 😉
Bugcrowd
Bugcrowd bietet verschiedene Lösungen für Sicherheitsbewertungen an, eine davon ist Bug Bounty. Es bietet eine SaaS-Lösung, die sich problemlos in Ihren vorhandenen Software-Lebenszyklus integrieren lässt und die Ausführung eines erfolgreichen Bug-Bounty-Programms zum Kinderspiel macht.
Sie können wählen, ob Sie ein privates Bug-Bounty-Programm haben möchten, an dem einige wenige Hacker beteiligt sind, oder ein öffentliches, das Tausende von Menschen zusammenbringt.
Engagierter Sicherheitsberater, ausführliche Hacker-Profile, Teilnahme nur auf Einladung - alles hängt von Ihren Anforderungen und der Reife Ihres Sicherheitsmodells ab.
Intigriti
intigriti ist eine umfassende Bug-Bounty-Plattform, die Sie mit White-Hat-Hackern verbindet, unabhängig davon, ob Sie ein privates oder ein öffentliches Programm ausführen möchten.
Für Hacker gibt es viele Kopfgelder greifen. Je nach Unternehmensgröße und Branche stehen Fehlerjagden zwischen 1,000 und 20,000 Euro zur Verfügung.
Synack
Synack scheint eine dieser Marktausnahmen zu sein, die die Form sprengen und am Ende etwas Massives tun. Ihr Sicherheitsprogramm Hack das Pentagon war das wichtigste Highlight und führte zur Entdeckung mehrerer kritischer Schwachstellen.
Wenn Sie also nicht nur nach Fehlererkennung, sondern auch nach Sicherheitsanweisungen und Schulungen auf höchstem Niveau suchen, Synack ist der Weg zu gehen.
Fazit
So wie Sie sich von Heilern fernhalten, die „Wundermittel“ verkünden, halten Sie sich bitte von Websites oder Diensten fern, die besagen, dass kugelsichere Sicherheit möglich ist. Alles was wir tun können, ist dem Ideal einen Schritt näher zu kommen. Von Bug-Bounty-Programmen sollte daher nicht erwartet werden, dass sie Zero-Bug-Anwendungen produzieren, sondern sie sollten als wesentliche Strategie zur Beseitigung der wirklich bösen Programme angesehen werden.
Check out this Bug Bounty Jagdkurs zu lernen und Ruhm, Belohnungen und Anerkennung zu erlangen.
Erfahren Sie mehr über größten Bug-Bounty-Programme der Welt.
Ich hoffe du zerquetschst viele von ihnen Bugs! 🙂
