HackrBlog | Lea - 31.3.2017

MILLAINEN ON HYVÄ KOHDE?

Ensimmäisinä päätettävinä asioina haavoittuvuuspalkinto-ohjelman eli bug bountyn perustamisessa tulee pohtia ohjelman kohde. Kohteen määrittelyllä voi houkutella tutkijoita ohjelman pariin, lisäksi sillä voi estää hankaluuksia sääntöjen tulkinnassa. Tässä joitakin vinkkejä siihen, miten määrittelyyn kannattaa lähteä.

Ensinnäkin, hyvä kohde on riittävän laaja. Kapea kohteen määrittely rajoittaa hyökkäyspinta-alaa ja käyttökelpoisia tutkimusvälineitä. Esimerkiksi jos ohjelman kohteeksi määritellään pelkästään yksi REST-rajapinta, ei testaajien kiinnostus ole välttämättä kovin suuri. Jos tätä määrittelyä laajennetaan kattamaan rajapintaa hyödyntävä sovellus, mielenkiinto herää useammalla. Ja jos rajaus tehdään vain joukkona IP-osoitteita, joiden takaa voi löytyä vaikka millaisia palveluita, tutkijoita varmasti löytyy. Laajempi on yleensä parempi. Hyvä kohde on kuitenkin myös rajattu oikein vahinkojen välttämiseksi. Erityisesti koska osa palveluista voi toimia kolmansien osapuolten järjestelmissä, joiden tutkimisen salliminen on kiinni myös palvelusopimuksista. Jos halutaan käyttää erittäin laajaa kohdetta, esimerkiksi kaikkia yrityksen domain-nimen alta löytyviä IT-järjestelmiä, kannattaa ohjelman sääntöjen kirjoittamiseen käyttää aikaa ja harkintaa.

Toiseksi, hyvä kohde on mielenkiintoinen. Suuri osa suomalaisista tietoturvatutkijoista on mukana tällaisessa ohjelmassa lähes yhtä paljon mielenkiinnosta kuin rahallisen palkkion vuoksi. Joten mitä enemmän mielenkiintoisia elementtejä kohteessa on, sitä enemmän järjestelmää tullaan testaamaan. Virtuaalipalvelimet, IPv6-osoitteet ja WWW-sovellukset ovat jo aikamoista peruskauraa tietoturvatutkijoille. Löytyykö teiltä jotain vähän erikoisempaa? Esimerkiksi sovelluskaupasta ilmaiseksi ladattava kännykkäsovellus ja sen pilvirajapinta? Entä IoT-laite, johon pääsee käsiksi verkosta? Tällaiset haasteet varmasti lisäävät mielenkiintoa ohjelmaa kohtaan.

Kolmanneksi, hyvä kohde on helposti tutkittavissa. Jos kohteen tutkiminen vaatii tuotteen ostamista tai palvelusopimuksen tekoa aidolla rahalla, hakkereiden into osallistua vähenee merkittävästi. Tämä mahdollisesti rajaa tutkijajoukon vain niihin, jotka ovat jo ennestään asiakkaita, mikä tarpeettomasti karsii tutkijajoukkoa. Muutaman euron kännykkäsovelluksen osto tuskin on kynnyskysymys osallistumiseen, mutta kalliimpia investointeja vaativissa kohteissa tulee pohtia vaihtoehtoja. Voisiko tutkijoille tehdä esimerkiksi jonkinlaisia kertakäyttötunnuksia, joita Hackrfi voi ilmoittautuneille jakaa, muuta ilmaista rekisteröitymistä tai kohteena olevasta kaupasta ostettavia nollahintaisia palveluita tai tuotteita, jotta järjestelmän tutkiminen eri tavoin onnistuu helposti. Bugbounty-ohjelmasta on sitä enemmän hyötyä, mitä helpommin tietoturva-aukkoja pääsee tutkimaan.

Vaikka kohteen määrittely on loppujen lopuksi bugbounty-ohjelman asiakkaan tehtävä, autamme mielellämme rajausten pohtimisessa.

Aiemmat blogikirjoituksemme

Ilmoittaudu HackrBlogin postituslistalle

Jätä sähköpostiosoitteesi, niin ilmoitamme, kun uusi blogikirjoitus on julkaistu